PHPカンファレンス関西2015
OWASP KANSAI松本 悦宜公開用資料修正 2015/06/03
View Slide
OWASPとは– Webセキュリティを取り巻く問題を解決するための国際的なコミュニティ– 企業や国境の壁はもちろんのこと、あらゆる専門知識と経験を持ったスペシャリスト、またユーザのコラボレーションにより、自由に参加できる開放された活動を展開– 2001年から活動開始アメリカ政府認定NPO– 200以上の拠点に支部
OWASPとはOWASPに基づく様々なアウトプット– 3年に一度、Webアプリケーションの注意すべき脆弱性と対策をまとめて公表– オープンソースの脆弱性診断ツール– ソフトウェア - オープンソース– ドキュメント -CC BY SA
OWASP TOP 10• Webアプリケーションの注意すべき脆弱性と対処方法のまとめ• 3年に一度リリース• モバイル分野にも対応するため『OWASPMobileSecurity Project』の一環として「Top 10 Mobile Risks」の開発も進行中https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
OWASP ZAP• OWASPによるオープンソースの脆弱性診断ツール• 日本語にも対応、日本語版の運用マニュアルもあり• 誰にでも手軽に検査できることを重視した設計https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Projecthttps://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit
国内におけるOWASPの活動• OWASP Japan– 2011年に国内にて活動開始(主に東京)– 2014年3月OWASP AppSec APAC 2014を開催• OWASP Kansai– 2014年より関西にて活動開始
Security × PHP Hot Topics• Webサイトの脆弱性を突く攻撃• 継続的に行われている攻撃• PHPのサポート終了
Webサーバサイトの脆弱性を突いた攻撃Webサイト脆弱性攻撃者改ざんマルウェア設置脆弱性情報窃取
サイトの脆弱性を突いた攻撃インジェクション認証とセッション管理の不備クロスサイトスクリプティング (XSS)安全でないオブジェクト 直接参照セキュリティ設定のミス機密データの露出機能レベルアクセス制御の欠落クロスサイトリクエストフォージェリ(CSRF)既知の脆弱性を持つコンポーネントの使用未検証の リダイレクトとフォーワード各項目の詳細は OWASP TOP 10 で解説
サイトの脆弱性を突いた攻撃自組織のウェブサイトに CMS が使われているという認識がない脆弱性がある古いバージョンの CMS を使用する危険性を認識していない委託先との契約が終了するなどの理由で、ウェブサイトの管理者が不在である
サイトの脆弱性を突いた攻撃例えば、PHPを避ける管理できないウェブサイトは閉鎖の検討をhttps://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html
サイトの脆弱性を突いた攻撃セキュリティに関する重要なお知らせ「WEBサイト改ざんの予防策」https://heteml.jp/pages/security/Movable Type を安全に利用するためにできることhttp://www.movabletype.jp/blog/secure_movable_type.htmlCMSベンダやホスティング事業者セキュリティ機関などの情報を参考に継続的な対策を!
攻撃の継続的な発生リスト型攻撃
攻撃の継続的な発生スキャンライブラリの使用時の設定不備を探索していると考えられるアクセス
攻撃の継続的な発生古い PHP にある脆弱性を使用して攻撃を行っていると考えられるアクセススキャン
サポートの終了• PHP 5 系のサポート終了Supported Versionshttps://php.net/supported-versions.php
サポートの終了フレームワークもまた…The Release Processhttp://symfony.com/doc/current/contributing/community/releases.html
OWASP Kansai• 日本で2番目のOWASPローカルチャプター• 2014年3月から活動開始• 3か月に1回のChapter Meeting(勉強会)を開催
OWASP Kansai Local Chapter Meeting
OWASP Kansai Local Chapter MeetingOWASP Kansai Local Chapter Meeting 2ndテーマは HTML5「HTML5が最近どうなっていて何があぶなっかしいのか?」HTML5-WEST.jp 村岡さん「負ける気せえへん HTML5セキュリティやし」神戸デジタル・ラボ 松本「HTML5のセキュリティ、もうちょい詳しく!」OWASP Kansai はせがわようすけさん2014年6月
OWASP Kansai Local Chapter Meeting 2ndHTML5 になるとどう変わるの?サーバサイドで気を付けるべきことは? 新しい要素と新しい属性 新しい JavaScript API サイト(オリジン)を超えた AJAX 別サイト(オリジン)から来たリクエストを受け入れるまたは拒否する ブラウザに実装されているHTTP のレスポンスヘッダ
OWASP Kansai Local Chapter MeetingOWASP Kansai Local Chapter Meeting 3rdテーマは OWASP ZAP【サイト開発者必見】無償で使える!脆弱性検査ツール『OWASP ZAP』ハンズオンZAPエバンジェリスト 亀田さん2015年2月
OWASP Kansai Local Chapter Meeting 3rdOWASP ZAPとは ローカルプロキシツール 無料、オープンソースライセンス セキュリティ診断に使用されるブラウザ サーバプロキシリクエストの確認変更などリクエスト リクエストレスポンスレスポンス疑似攻撃によるセキュリティテスト
OWASP Kansai Local Chapter Meeting 3rdOWASP ZAP ハンズオン OWASP ZAP を使ってみて実際に “疑似攻撃” する誰でもセキュリティ診断ができるように
次のイベントは?オワスプ カンサイ ナイトOWASP Kansai Night神戸市内のお店を借り切ってたこ焼きパーティお酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイル2015年6月24日(水)19:00 ~ 21:00
まとめ• OWASP Kansai では Web アプリケーションを安全にするための取組を行っています• PHPer の皆様の力が必要です!!• 関西からセキュリティをもりあげましょーOWASP Kansai 検索
tkmnzm
ym405nm
zakiyama
matsujirushi
kohbis
oracle4engineer
shimap_sampo
skrb
soracom
nabedge
keithyokoma
afnizarnur
pedronauck
ddemaree
chrislema
scottboms
denniskardys
zenorocha
carmenintech
ammeep
tenderlove
keathley
philnash