Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティテストでより安心できるリリースにしよう

yumechi(Motoki Hirao)
March 24, 2023
Technology
0
200

 セキュリティテストでより安心できるリリースにしよう

2023/03/23〜25 開催 PHPerKaigi 2023 Day 1 LT

yumechi(Motoki Hirao)

March 24, 2023
Tweet

More Decks by yumechi(Motoki Hirao)

See All by yumechi(Motoki Hirao)
やがてカンファレンス登壇者になる
yumechi
1
76
形式スクラムの功罪
yumechi
3
1.1k
プロポーザルを出してみよう考えてみよう
yumechi
1
130
PHPをasdfで動かしてみたんです
yumechi
1
340
Shell環境の初手
yumechi
1
31
Last CoLab
yumechi
1
51
これまで10年くらいふりかえり続けて思ったふりかえりに必要なたった1つのこと
yumechi
2
610
スクラム導入して変わったチーム、組織のありかた
yumechi
1
680
にわかなりにQAの人と 携わってみる… / What I learned about the amazing QA engineers after trying out for Tescon.
yumechi
0
250

Other Decks in Technology

See All in Technology
(n=1の)テーブルデータコンペの取り組み方
makotu
2
1.2k
クラウドだからできた 地方主導のJAWS DevOps
matsuihidetoshi
2
170
asken リアーキテクチャを行う背景と DDD導入戦略
murahigeas
1
150
リスキリングの特効薬!「技術コミュニティ」のススメ
mamohacy
1
710
物理シミュレーションと数理最適化の知見を導入した機械学習手法
yellowshippo
1
940
Web PubSubで創るマイ都市デジタルツイン 〜WebSocketはPostmanでテストするのだよ〜
nagix
0
270
Beyond the Baseline: Horizons for Cloud Security Programs
ramimac
0
150
Azure OpenAI Service リファレンスアーキテクチャからみる本番システムレベルの LLM アプリに必要な検討項目の解説 / From Azure OpenAI Reference Architecture to Production-Ready LLM Apps #serverlessdays #serverlesstokyo
koudaiii
5
1.2k
自作WASMランタイムをKernelに改造する試み.pdf
riru
2
470
生成AIと著作権 〜生成AIによって生じる著作権関連の課題と対処
line_developers
PRO
2
670
R Not Only in Production
karawoo
0
140
Feature Flagについて本気出して考えて実践してみた
revcomm_inc
1
110

Featured

See All Featured
Documentation Writing (for coders)
carmenintech
54
3.3k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.6k
Visualization
eitanlees
131
13k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
26
5.5k
The Brand Is Dead. Long Live the Brand.
mthomps
48
5.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
271
12k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.1k
Atom: Resistance is Futile
akmur
257
24k
Done Done
chrislema
178
15k
Navigating Team Friction
lara
177
12k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
9k
Design by the Numbers
sachag
272
18k

Transcript

  1. https://www.dip-net.co.jp/
    Motoki Hirao
    セキュリティテストでより
    安心できるリリースにしよう

    View Slide

  2. https://www.dip-net.co.jp/
    発表者について
    • 2021年7月に開発者としてディップに
    ジョイン
    • スクラムマスターや開発を担当
    • ゲームが好き
    2
    会社ではこんな
    アイコンでやってます!

    View Slide

  3. https://www.dip-net.co.jp/
    • 2022年4月にアーキテクチャ
    リプレイスをしました
    • リプレイスプロジェクトの
    一環でセキュリティテスト
    を実施
    今回の発表の背景
    https://fortee.jp/phpcon-2022/proposal/ab138440-5240-43be-99ed-3680bad17085 より

    View Slide

  4. https://www.dip-net.co.jp/
    リプレイスプロジェクトの課題
    • セキュリティ面での検証はできておらず、攻撃に耐えう
    るソフトウェアであるかは懸念があった
    • JavaのコードをPHPに移植した
    • ふるまいに関しては単体・結合・総合テストで入念に確認済
    • 一方で実際に外部公開した際、攻撃されて問題が起きる可能性
    がある
    4

    View Slide

  5. https://www.dip-net.co.jp/
    5
    そもそもチームに
    セキュリティに
    詳しい人いない…

    View Slide

  6. https://www.dip-net.co.jp/
    ツール選定の中で上がったこと
    • セットアップが容易で、実行に特殊な知識を必要とせず、
    実施結果も確認しやすい
    • 定期的に実行しやすい仕組みが整っていると嬉しい
    • 定期的に実施して検査し続けて健全な状態を維持したい
    • 例えばCIに組み込み可能、定期実行する仕組みがツール自体に
    備わっている
    6

    View Slide

  7. https://www.dip-net.co.jp/
    VAddyを使う
    7
    引用:https://vaddy.net/ja/

    View Slide

  8. https://www.dip-net.co.jp/
    VAddy主な機能
    • クロール(シナリオ)の記録、脆弱性検査実施
    • 検査結果のレポート
    • メンバー・権限管理
    8

    View Slide

  9. https://www.dip-net.co.jp/
    • ブラウザでクロールを記録
    して、「スキャン実行」を
    クリックするだけ

    View Slide

  10. https://www.dip-net.co.jp/
    • SQLインジェクション
    • クロスサイトスクリプティング(XSS)
    • リモートファイルインクルード(RFI)
    • コマンドインジェクション
    • ディレクトリトラバーサル
    • ブラインドSQLインジェクション
    • 安全でないデシリアライゼーション
    • XML外部実体攻撃(XXE)
    • HTTPヘッダインジェクション
    • SSRF脆弱性
    • 非公開ファイル検査
    VAddy主な検査対象
    10
    ※プランによって異なります
    引用:https://vaddy.net/ja/plan.html

    View Slide

  11. https://www.dip-net.co.jp/
    CLI・APIからの実行も可能
    • go-vaddy: VAddy API Command-Line Tool
    • https://github.com/vaddy/go-vaddy/blob/master/README_ja.md
    • VAddy Web API Scan Document
    • https://github.com/vaddy/WebAPI-document/blob/master/VAddy-
    WebApi-ja.md
    • 外部から操作しやすいので、CIへの組み込みや定期実行がし
    やすい
    11

    View Slide

  12. https://www.dip-net.co.jp/
    12
    VAddyなら
    なんとかできる
    かも…

    View Slide

  13. https://www.dip-net.co.jp/
    実際にセキュリティテストやっていく
    • 調査含めて2ヶ月くらいかけました(2021/11〜2021/12)
    • クロールはPC版とスマートフォン版を分けて記録
    • PC版とスマートフォン版で内部ロジックが異なるため
    • VAddyではヘッダー情報が記録されていた
    • クロール数は50以下くらいで、手作業で収集
    13

    View Slide

  14. https://www.dip-net.co.jp/
    実行の高速化
    • サービスのフォーム入力項目やvalue値が多すぎるためか、タイ
    ムアウトが頻発しテストが終わらない問題発生
    • 基本情報、職務経歴、トラッキングパラメータなどで数百項目以上
    • 対策として次の2つを実施
    • アセットデータへのリクエストをPacファイルを用いてフィルタ
    • それでも厳しい部分については検査項目をいくつかのグループに分け
    て実施し、実施時間を調整
    14

    View Slide

  15. https://www.dip-net.co.jp/
    実施した結果…
    15
    • 数ケースだが問題発見
    • 元々のコードにも残っている
    不具合だった
    • リリース前に修正

    View Slide

  16. https://www.dip-net.co.jp/
    \ 🎉無事リリース🎉 /

    View Slide

  17. https://www.dip-net.co.jp/
    今後に向けて
    • 継続的に実施する計画・運用を考える
    • 機能が追加される=セキュリティリスクが増える
    • 常に検査し続けてこそ意味がある
    • スケジュール実行したい
    • 我々のフォームのつくり上、CIに組み込めない
    • ジョブ管理ツールとCLIやAPIを組み合わせて定期実行を実現したい
    17

    View Slide

  18. https://www.dip-net.co.jp/
    まとめ
    • セキュリティテストを実行する際、Webサービスを使う手も
    ある
    • 選定基準に照らし、私たちはVAddyを選択した
    • セキュリティテストを実行し、若干数の問題を発見できた
    • 継続的に実施する計画や運用はこれから検討する
    18

    View Slide

  19. https://www.dip-net.co.jp/
    • 大きなプロダクトに挑戦し
    て見たい方は是非一度カジ
    ュアル面談でお話しさせて
    ください!
    • 3/25にはブースもあります
    ので、お話ししましょう!
    積極採用やってます!

    View Slide

  20. https://www.dip-net.co.jp/
    Appendix
    • 商用可・フリーイラスト素材|ソコスト https://soco-
    st.com/
    20

    View Slide