Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015

コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015

PHPカンファレンス関西2015

yoshinori matsumoto

June 03, 2015
Tweet

More Decks by yoshinori matsumoto

Other Decks in Technology

Transcript

  1. OWASP TOP 10 • Webアプリケーションの注意 すべき脆弱性と対処方法の まとめ • 3年に一度リリース •

    モバイル分野にも対応するため『OWASP MobileSecurity Project』の一環として 「Top 10 Mobile Risks」の開発も進行中 https://www.owasp.org/images/7/79/OWASP_Top_10_2013 _JPN.pdf
  2. OWASP ZAP • OWASPによるオープン ソースの脆弱性診断 ツール • 日本語にも対応、日本 語版の運用マニュアルもあり •

    誰にでも手軽に検査できることを重視した 設計 https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp 6OWdGYzg/edit
  3. サイトの脆弱性を突いた攻撃 インジェクション 認証とセッション管 理の不備 クロスサイトスクリ プティング (XSS) 安全でないオブジェ クト 直接参照

    セキュリティ設定の ミス 機密データの露出 機能レベルアクセス 制御の欠落 クロスサイトリクエ ストフォージェリ (CSRF) 既知の脆弱性を持つ コンポーネントの使 用 未検証の リダイレ クトとフォーワード 各項目の詳細は OWASP TOP 10 で解説
  4. OWASP Kansai Local Chapter Meeting OWASP Kansai Local Chapter Meeting

    2nd テーマは HTML5 「HTML5が最近どうなっていて何があぶなっかしいのか?」 HTML5-WEST.jp 村岡さん 「負ける気せえへん HTML5セキュリティやし」 神戸デジタル・ラボ 松本 「HTML5のセキュリティ、もうちょい詳しく!」 OWASP Kansai はせがわようすけさん 2014年6月
  5. OWASP Kansai Local Chapter Meeting 2nd HTML5 になるとどう変わるの? サーバサイドで気を付けるべきことは? 

    新しい要素と新しい属性  新しい JavaScript API  サイト(オリジン)を超えた AJAX  別サイト(オリジン)から来たリクエストを受け入れる または拒否する  ブラウザに実装されているHTTP のレスポンスヘッダ
  6. OWASP Kansai Local Chapter Meeting OWASP Kansai Local Chapter Meeting

    3rd テーマは OWASP ZAP 【サイト開発者必見】無償で使える!脆弱性検査 ツール『OWASP ZAP』ハンズオン ZAPエバンジェリスト 亀田さん 2015年2月
  7. OWASP Kansai Local Chapter Meeting 3rd OWASP ZAPとは  ローカルプロキシツール

     無料、オープンソースライセンス  セキュリティ診断に使用される ブラウザ サーバ プロキシ リクエストの確認 変更など リクエスト リクエスト レスポンス レスポンス 疑似攻撃による セキュリティテスト
  8. OWASP Kansai Local Chapter Meeting 3rd OWASP ZAP ハンズオン 

    OWASP ZAP を使ってみて実際に “疑似攻撃” する 誰でもセキュリティ診断ができるように
  9. まとめ • OWASP Kansai では Web アプリケーショ ンを安全にするための取組を行っています • PHPer

    の皆様の力が必要です!! • 関西からセキュリティをもりあげましょー OWASP Kansai 検索