Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015

6e007aca86b0c0b0eabdebc33d81810d?s=47 yoshinori matsumoto
June 03, 2015
Technology
0
380

コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015

PHPカンファレンス関西2015

6e007aca86b0c0b0eabdebc33d81810d?s=128

yoshinori matsumoto

June 03, 2015
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
0
32
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
0
150
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
1
530
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
0
95
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
1
590
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
0
600
6e007aca86b0c0b0eabdebc33d81810d?s=48 ym405nm
8
4k

Other Decks in Technology

See All in Technology
Bf7fe621f4fe1615c228ef8a79b87282?s=48 shirayanagiryuji
1
410
2ee165e506f59e3fe6f463bf7f150ccb?s=48 minamizaki
0
590
Bf7fe621f4fe1615c228ef8a79b87282?s=48 shirayanagiryuji
0
2.1k
19fc8f6113c5c3d86e6176362ff29479?s=48 kanaugust
PRO
0
230
6e910ea53b24d30c3fb5cf6ae0e313f5?s=48 kaga
0
190
9e4ea8b3f81c2acc322cc6ed0db32be9?s=48 satoshirobatofujimoto
0
110
762c4094331850bef09278aae28f1a32?s=48 unifa_dev
0
360
A8f0494d61f79b35ff8a4902c7decb73?s=48 iqbocchi
0
530
Dd7fa413be25d8672c03a487db6a8fe6?s=48 fujiihda
8
1k
Dca4f8abd1e78940052ee52c85c4d2ed?s=48 shimacos
2
320
E97091ac0d2c69ce9f9e8a8d0a2ea066?s=48 torisoup
0
290
0d29d155ce5c5a93ed46363626da3ea7?s=48 ocise
0
130

Featured

See All Featured
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
220
15k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
11
1.2k
5b6a2bd86ef643786a381a212e0ef2f1?s=48 geoffreycrofte
18
770
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
111
9.9k
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
56
9.3k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
66
3k
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
200
9.6k
78b475797a14c84799063c7cd073962f?s=48 holman
288
130k
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
39
2.3k
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
8
490
Be9caeb9d4ef9944d151af909063ed6e?s=48 samlambert
237
9.9k
9128d500301ae51524e887bb680f471d?s=48 caitiem20
308
17k

Transcript

  1. OWASP KANSAI 松本 悦宜 公開用資料修正 2015/06/03

  2. None

  3. OWASPとは – Webセキュリティを取り巻く問題を解決する ための国際的なコミュニティ – 企業や国境の壁はもちろんのこと、あらゆる 専門知識と経験を持ったスペシャリスト、ま たユーザのコラボレーションにより、自由に 参加できる開放された活動を展開 –

    2001年から活動開始 アメリカ政府認定NPO – 200以上の拠点に支部

  4. OWASPとは OWASPに基づく様々なアウトプット – 3年に一度、Webアプリケーションの注意すべき 脆弱性と対策をまとめて公表 – オープンソースの脆弱性診断ツール – ソフトウェア -

    オープンソース – ドキュメント -CC BY SA

  5. OWASP TOP 10 • Webアプリケーションの注意 すべき脆弱性と対処方法の まとめ • 3年に一度リリース •

    モバイル分野にも対応するため『OWASP MobileSecurity Project』の一環として 「Top 10 Mobile Risks」の開発も進行中 https://www.owasp.org/images/7/79/OWASP_Top_10_2013 _JPN.pdf

  6. OWASP ZAP • OWASPによるオープン ソースの脆弱性診断 ツール • 日本語にも対応、日本 語版の運用マニュアルもあり •

    誰にでも手軽に検査できることを重視した 設計 https://www.owasp.org/index.php/OWASP_Zed_Attack_ Proxy_Project https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp 6OWdGYzg/edit

  7. 国内におけるOWASPの活動 • OWASP Japan – 2011年に国内にて活動開始(主に東京) – 2014年3月OWASP AppSec APAC

    2014を開催 • OWASP Kansai – 2014年より関西にて 活動開始

  8. 国内におけるOWASPの活動 • OWASP Japan – 2011年に国内にて活動開始(主に東京) – 2014年3月OWASP AppSec APAC

    2014を開催 • OWASP Kansai – 2014年より関西にて 活動開始
  9. None

  10. Security × PHP Hot Topics • Webサイトの脆弱性を突く攻撃 • 継続的に行われている攻撃 •

    PHPのサポート終了

  11. Webサーバ サイトの脆弱性を突いた攻撃 Webサイト 脆弱性 攻撃者 改ざん マルウェア設置 脆弱性 情報窃取

  12. サイトの脆弱性を突いた攻撃 インジェクション 認証とセッション管 理の不備 クロスサイトスクリ プティング (XSS) 安全でないオブジェ クト 直接参照

    セキュリティ設定の ミス 機密データの露出 機能レベルアクセス 制御の欠落 クロスサイトリクエ ストフォージェリ (CSRF) 既知の脆弱性を持つ コンポーネントの使 用 未検証の リダイレ クトとフォーワード 各項目の詳細は OWASP TOP 10 で解説

  13. サイトの脆弱性を突いた攻撃 自組織のウェブサイトに CMS が使われている という認識がない 脆弱性がある古いバージョンの CMS を使用す る危険性を認識していない 委託先との契約が終了するなどの理由で、ウェ

    ブサイトの管理者が不在である

  14. サイトの脆弱性を突いた攻撃 例えば、PHPを避ける 管理できないウェブサイトは 閉鎖の検討を https://www.ipa.go.jp/security/ciadr/vul/201406 19-oldcms.html

  15. サイトの脆弱性を突いた攻撃 セキュリティに関する重要なお知らせ「WEB サイト改ざんの予防策」 https://heteml.jp/pages/security/ Movable Type を安全に利用するためにでき ること http://www.movabletype.jp/blog/secure_m ovable_type.html

    CMSベンダやホスティング事業者 セキュリティ機関などの情報を参考に 継続的な対策を!

  16. 攻撃の継続的な発生 リスト型攻撃

  17. 攻撃の継続的な発生 スキャン ライブラリの使用時の設定不備を探索していると 考えられるアクセス

  18. 攻撃の継続的な発生 古い PHP にある脆弱性を使用して攻撃を行っていると 考えられるアクセス スキャン

  19. サポートの終了 • PHP 5 系のサポート終了 Supported Versions https://php.net/supported-versions.php

  20. サポートの終了 フレームワークもまた… The Release Process http://symfony.com/doc/current/contributing/community/releases.html

  21. None

  22. OWASP Kansai • 日本で2番目のOWASPローカルチャプ ター • 2014年3月から活動開始 • 3か月に1回のChapter Meeting(勉強会)

    を開催

  23. OWASP Kansai Local Chapter Meeting

  24. OWASP Kansai Local Chapter Meeting OWASP Kansai Local Chapter Meeting

    2nd テーマは HTML5 「HTML5が最近どうなっていて何があぶなっかしいのか?」 HTML5-WEST.jp 村岡さん 「負ける気せえへん HTML5セキュリティやし」 神戸デジタル・ラボ 松本 「HTML5のセキュリティ、もうちょい詳しく!」 OWASP Kansai はせがわようすけさん 2014年6月

  25. OWASP Kansai Local Chapter Meeting 2nd HTML5 になるとどう変わるの? サーバサイドで気を付けるべきことは? 

    新しい要素と新しい属性  新しい JavaScript API  サイト(オリジン)を超えた AJAX  別サイト(オリジン)から来たリクエストを受け入れる または拒否する  ブラウザに実装されているHTTP のレスポンスヘッダ

  26. OWASP Kansai Local Chapter Meeting OWASP Kansai Local Chapter Meeting

    3rd テーマは OWASP ZAP 【サイト開発者必見】無償で使える!脆弱性検査 ツール『OWASP ZAP』ハンズオン ZAPエバンジェリスト 亀田さん 2015年2月

  27. OWASP Kansai Local Chapter Meeting 3rd OWASP ZAPとは  ローカルプロキシツール

     無料、オープンソースライセンス  セキュリティ診断に使用される ブラウザ サーバ プロキシ リクエストの確認 変更など リクエスト リクエスト レスポンス レスポンス 疑似攻撃による セキュリティテスト

  28. OWASP Kansai Local Chapter Meeting 3rd OWASP ZAP ハンズオン 

    OWASP ZAP を使ってみて実際に “疑似攻撃” する 誰でもセキュリティ診断ができるように

  29. 次のイベントは? オワスプ カンサイ ナイト OWASP Kansai Night 神戸市内のお店を借り切ってたこ焼きパーティ お酒を交えながら楽しくWebセキュリティについて 情報交換を行うカジュアルなスタイル

    2015年6月24日(水) 19:00 ~ 21:00

  30. まとめ • OWASP Kansai では Web アプリケーショ ンを安全にするための取組を行っています • PHPer

    の皆様の力が必要です!! • 関西からセキュリティをもりあげましょー OWASP Kansai 検索