Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda
August 29, 2015
490

MINI Hardening #1.2 20分LT ZAPを使ったHardening対策術 2015/8/29

Yuho Kameda

August 29, 2015
Tweet

Transcript

  1. ykame (@YuhoKameda)
    ZAP Evangelist
    Hardening競技 参加歴
    2012/10 Hardening One(チーム枠)
    2013/07 Hardening One Remix(Ping枠)
    2014/06 Hardening 10 APAC(Ping枠)
    2014/11 Hardening 10 Evolutions
    2015/06 Hardening 10 MarketPlace(MP4)

    View full-size slide

  2. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する
    対策してこそのHardening!

    View full-size slide

  3. 本スライドに記載の行為を、自身の管理下にな
    いネットワーク/コンピュータに行った場合、攻撃
    行為と判断される場合があります。
    自身の管理下にあるネットワークやサーバに対し
    てのみ行うようにしてください。

    View full-size slide

  4. OWASP ZAPのインストール
    OWASP ZAP 2.4.1(2015/7/30 released)
    診断ツール
    OWASP BWAのインストール
    OWASP BWA 1.2 (2015/8/3 released)
    診断対象となるアプリケーション
    実際に帰宅してから試してみてください!
    準備の詳細は、下記で。
    http://zapjp.blogspot.jp/

    View full-size slide

  5. OWASP ZAP (Zed Attack Proxy)
    Webアプリケーションを簡単に「脆弱性診断」するこ
    とができるツール
    ローカルプロキシツール
    https://code.google.com/p/zaproxy/
    https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

    View full-size slide

  6. OWASP Broken Web Application (BWA)
    脆弱なWebアプリケーションの詰め合わせ
    Java / ASP / PHP / Ruby on Rails…
    https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project

    View full-size slide

  7. BWAの中にある、古いWordpressを対象
    Wordpress 2.0.0
    最新は4.3 (2015/8/19)

    View full-size slide

  8. 古すぎてアラートだらけ

    View full-size slide

  9. 診断対象範囲を決定
    Include In Context
    特定ディレクトリ配下だけ診断が可能

    View full-size slide

  10. 対象をクローリング(スパイダー)
    開始したいページを選択
    スキャン開始!

    View full-size slide

  11. 結果…
    大量に抽出できた!

    View full-size slide

  12. 動的スキャン
    開始したいページを選択
    スキャン開始!

    View full-size slide

  13. ポートスキャンでオープンポートを特定

    View full-size slide

  14. Hardening競技には、脆弱なアプリがいっぱい
    Wordpressの古いバージョン
    EC-CUBEの古いバージョン
    Zen Cartの古いバージョン

    脆弱なサーバ・ミドルウェアもいっぱい
    DNSサーバの設定不備
    Bashの古いバージョン
    OpenSSLの古いバージョン

    View full-size slide

  15. バージョンが古い…
    最新バージョンを確認
    バージョンアップやパッチを適用しよう!
    コードがボロボロ…
    コードを修正しよう!
    設定がデフォルトのまま…
    適切に設定しよう!
    各役割に合った対応を!
    ・マネージャー
    ・Webアプリ開発者
    ・ネットワーク管理者
    ・インシデント対応経験者
    など

    View full-size slide

  16. 診断
    •脆弱性が無いか探す
    特定
    •脆弱性を見つける
    •見つけた脆弱性を把握する
    対策
    •見つけた脆弱性を修正する

    View full-size slide

  17. 攻撃を受けて対策するだけがHardening競技
    じゃない!
    事前に管理するサーバ・Webアプリの脆弱性を
    把握し、対策を検討しよう
    自前でWebアプリを診断
    診断サービスを活用
    協力して対策を実施できることを目指そう

    View full-size slide

  18. 無料のツールでセキュリティを意識したい!
    http://www.slideshare.net/zaki4649/free-securitycheck

    View full-size slide

  19. 脆弱性診断の基本手法
    無料で手間がかからない!
    インフラ編
    ポートスキャン
    脆弱性スキャン
    Webアプリケーション編
    自動診断
    ZAPの機能紹介
    実際に検出する脆弱性の事例

    View full-size slide

  20. MP4によるWordPress向けの対策マニュアル
    WordPressの検証環境を構築するスクリプト公開
    https://speakerdeck.com/tsb/20

    View full-size slide

  21. 脆弱性診断士(Web アプリケーション)スキル
    マップ プロジェクト 2014
    OWASP Japan / JNSAのISOG-J による共同WG
    脆弱性診断士に必要な能力のマッピング
    プログラマからネットワーク知識、倫理観まで
    2014/12/24 「脆弱性診断士(Webアプリケーション)スキルマップ」公開
    https://www.owasp.org/index.php/Japan
    http://isog-j.org/output/2014/about-pentester-web-skillmap-201412.pdf

    View full-size slide