Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティテストでより安心できるリリースにしよう

Avatar for yumechi(Motoki Hirao) yumechi(Motoki Hirao)
March 24, 2023
Technology
0
550

 セキュリティテストでより安心できるリリースにしよう

2023/03/23〜25 開催 PHPerKaigi 2023 Day 1 LT

Avatar for yumechi(Motoki Hirao)

yumechi(Motoki Hirao)

March 24, 2023
Tweet

More Decks by yumechi(Motoki Hirao)

See All by yumechi(Motoki Hirao)
Chart.jsで長い項目を表示するときのハマりどころ
Avatar for yumechi(Motoki Hirao) yumechi
0
180
異夢同船 読んできました!
Avatar for yumechi(Motoki Hirao) yumechi
0
270
地方カンファレンスのスタッフしてて思うこと
Avatar for yumechi(Motoki Hirao) yumechi
0
160
2025年半忘年会ふりかえり
Avatar for yumechi(Motoki Hirao) yumechi
0
42
業務で使える一歩進んだPython使いになるために / To become an advanced user of Python that can be used at work
Avatar for yumechi(Motoki Hirao) yumechi
13
14k
LTの裏技
Avatar for yumechi(Motoki Hirao) yumechi
2
1.5k
やがてカンファレンス登壇者になる
Avatar for yumechi(Motoki Hirao) yumechi
1
330
形式スクラムの功罪
Avatar for yumechi(Motoki Hirao) yumechi
3
1.5k
プロポーザルを出してみよう考えてみよう
Avatar for yumechi(Motoki Hirao) yumechi
1
830

Other Decks in Technology

See All in Technology
次世代AIコーディング:OpenAI Codex の最新動向 進行スライド/nikkei-tech-talk-40
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
110
20251225_たのしい出張報告&IgniteRecap!
Avatar for ponponmikan ponponmikankan
0
110
_第4回__AIxIoTビジネス共創ラボ紹介資料_20251203.pdf
Avatar for AIxIoTビジネス共創ラボ iotcomjpadmin
0
180
[PR] はじめてのデジタルアイデンティティという本を書きました
Avatar for ritou ritou
1
790
AI に「学ばせ、調べさせ、作らせる」。Auth0 開発を加速させる7つの実践的アプローチ
Avatar for Satoshi Kobayashi scova0731
0
160
Introduction to Sansan for Engineers / エンジニア向け会社紹介
Avatar for Sansan, Inc. sansan33
PRO
5
60k
モノタロウ x クリエーションラインで実現する チームトポロジーにおける プラットフォームチーム・ ストリームアラインドチームの 効果的なコラボレーション
Avatar for Creationline creationline
0
630
Claude Codeを使った情報整理術
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
20
12k
松尾研LLM講座2025 応用編Day3「軽量化」 講義資料
Avatar for Aratako aratako
15
4.9k
SES向け、生成AI時代におけるエンジニアリングとセキュリティ
Avatar for LongbowXXX longbowxxx
0
310
Eight Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
6.2k
Master Dataグループ紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.2k

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
31
3.1k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
49
Docker and Python
Avatar for Tania Allard trallard
47
3.7k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.1k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
3.9k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
80
6.1k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2k
Believing is Seeing
Avatar for Spiro Bolos oripsolob
0
20
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k

Transcript

  1. https://www.dip-net.co.jp/ Motoki Hirao セキュリティテストでより 安心できるリリースにしよう

  2. https://www.dip-net.co.jp/ 発表者について • 2021年7月に開発者としてディップに ジョイン • スクラムマスターや開発を担当 • ゲームが好き 2

    会社ではこんな アイコンでやってます!

  3. https://www.dip-net.co.jp/ • 2022年4月にアーキテクチャ リプレイスをしました • リプレイスプロジェクトの 一環でセキュリティテスト を実施 今回の発表の背景 https://fortee.jp/phpcon-2022/proposal/ab138440-5240-43be-99ed-3680bad17085

    より

  4. https://www.dip-net.co.jp/ リプレイスプロジェクトの課題 • セキュリティ面での検証はできておらず、攻撃に耐えう るソフトウェアであるかは懸念があった • JavaのコードをPHPに移植した • ふるまいに関しては単体・結合・総合テストで入念に確認済 •

    一方で実際に外部公開した際、攻撃されて問題が起きる可能性 がある 4

  5. https://www.dip-net.co.jp/ 5 そもそもチームに セキュリティに 詳しい人いない…

  6. https://www.dip-net.co.jp/ ツール選定の中で上がったこと • セットアップが容易で、実行に特殊な知識を必要とせず、 実施結果も確認しやすい • 定期的に実行しやすい仕組みが整っていると嬉しい • 定期的に実施して検査し続けて健全な状態を維持したい •

    例えばCIに組み込み可能、定期実行する仕組みがツール自体に 備わっている 6

  7. https://www.dip-net.co.jp/ VAddyを使う 7 引用:https://vaddy.net/ja/

  8. https://www.dip-net.co.jp/ VAddy主な機能 • クロール(シナリオ)の記録、脆弱性検査実施 • 検査結果のレポート • メンバー・権限管理 8

  9. https://www.dip-net.co.jp/ • ブラウザでクロールを記録 して、「スキャン実行」を クリックするだけ

  10. https://www.dip-net.co.jp/ • SQLインジェクション • クロスサイトスクリプティング(XSS) • リモートファイルインクルード(RFI) • コマンドインジェクション •

    ディレクトリトラバーサル • ブラインドSQLインジェクション • 安全でないデシリアライゼーション • XML外部実体攻撃(XXE) • HTTPヘッダインジェクション • SSRF脆弱性 • 非公開ファイル検査 VAddy主な検査対象 10 ※プランによって異なります 引用:https://vaddy.net/ja/plan.html

  11. https://www.dip-net.co.jp/ CLI・APIからの実行も可能 • go-vaddy: VAddy API Command-Line Tool • https://github.com/vaddy/go-vaddy/blob/master/README_ja.md

    • VAddy Web API Scan Document • https://github.com/vaddy/WebAPI-document/blob/master/VAddy- WebApi-ja.md • 外部から操作しやすいので、CIへの組み込みや定期実行がし やすい 11

  12. https://www.dip-net.co.jp/ 12 VAddyなら なんとかできる かも…

  13. https://www.dip-net.co.jp/ 実際にセキュリティテストやっていく • 調査含めて2ヶ月くらいかけました(2021/11〜2021/12) • クロールはPC版とスマートフォン版を分けて記録 • PC版とスマートフォン版で内部ロジックが異なるため • VAddyではヘッダー情報が記録されていた

    • クロール数は50以下くらいで、手作業で収集 13

  14. https://www.dip-net.co.jp/ 実行の高速化 • サービスのフォーム入力項目やvalue値が多すぎるためか、タイ ムアウトが頻発しテストが終わらない問題発生 • 基本情報、職務経歴、トラッキングパラメータなどで数百項目以上 • 対策として次の2つを実施 •

    アセットデータへのリクエストをPacファイルを用いてフィルタ • それでも厳しい部分については検査項目をいくつかのグループに分け て実施し、実施時間を調整 14

  15. https://www.dip-net.co.jp/ 実施した結果… 15 • 数ケースだが問題発見 • 元々のコードにも残っている 不具合だった • リリース前に修正

  16. https://www.dip-net.co.jp/ \ 🎉無事リリース🎉 /

  17. https://www.dip-net.co.jp/ 今後に向けて • 継続的に実施する計画・運用を考える • 機能が追加される=セキュリティリスクが増える • 常に検査し続けてこそ意味がある • スケジュール実行したい

    • 我々のフォームのつくり上、CIに組み込めない • ジョブ管理ツールとCLIやAPIを組み合わせて定期実行を実現したい 17

  18. https://www.dip-net.co.jp/ まとめ • セキュリティテストを実行する際、Webサービスを使う手も ある • 選定基準に照らし、私たちはVAddyを選択した • セキュリティテストを実行し、若干数の問題を発見できた •

    継続的に実施する計画や運用はこれから検討する 18

  19. https://www.dip-net.co.jp/ • 大きなプロダクトに挑戦し て見たい方は是非一度カジ ュアル面談でお話しさせて ください! • 3/25にはブースもあります ので、お話ししましょう! 積極採用やってます!

  20. https://www.dip-net.co.jp/ Appendix • 商用可・フリーイラスト素材|ソコスト https://soco- st.com/ 20