Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報セキュリティ勉強会 実践編
Search
Yusuke Saito
August 30, 2017
Technology
1
730
情報セキュリティ勉強会 実践編
Webアプリの脆弱性対策について
Yusuke Saito
August 30, 2017
Tweet
Share
More Decks by Yusuke Saito
See All by Yusuke Saito
情報セキュリティ勉強会 基礎編
yusuke_saito
2
1.2k
せっかくのグローバルイベントだから海外のエンジニアと話そう!
yusuke_saito
0
510
RFCから読むHTTP/2の仕組みと速さの秘密
yusuke_saito
0
350
Other Decks in Technology
See All in Technology
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
9
2k
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
630
よくわからんサービスについての問い合わせが来たときの強い味方 Amazon Q について
kazzpapa3
0
220
「 SharePoint 難しい」ってよく聞くけど、そんなに言うなら8歳の息子に試してもらった
taichinakamura
1
580
Automated Promptingを目指すその前に / Before we can aim for Automated Prompting
rkaga
0
110
失敗しないOpenJDKの非互換調査
tabatad
0
270
30万人が利用するチャットをFirebase Realtime DatabaseからActionCableへ移行する方法
ryosk7
5
330
新卒1年目が挑む!生成AI × マルチエージェントで実現する次世代オンボーディング / operation-ai-onboarding
cyberagentdevelopers
PRO
1
160
新卒1年目が向き合う生成AI事業の開発を加速させる技術選定 / ai-web-launcher
cyberagentdevelopers
PRO
7
1.5k
CI/CDやテスト自動化の開発プロジェクトへの適用
megascus
3
740
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.5k
で、ValhallaのValue Classってどうなったの?
skrb
1
660
Featured
See All Featured
The Invisible Side of Design
smashingmag
297
50k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
KATA
mclloyd
29
13k
Git: the NoSQL Database
bkeepers
PRO
425
64k
Gamification - CAS2011
davidbonilla
80
5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
790
Keith and Marios Guide to Fast Websites
keithpitt
408
22k
The Cult of Friendly URLs
andyhume
78
6k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Transcript
ηΩϡϦςΟษڧձ ࣮ફฤ 2017/08/30
࣍ 1. ྫͷΞϨ 2. WebγεςϜ͕ड͚Δ߈ܸͱ 3. Δ͖ରࡦͱ 4. ੬ऑੑͷݟ͚ͭํͱ
ྫͷΞϨ
IUUQXXXTPGUJDPSKQTFNJ@PQQEG
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
SQLΠϯδΣΫγϣϯରࡦΛࢪͨ͠ ϓϩάϥϜΛఏڙ͖͢࠴
ಉ࣌ʹɺ
ʮ·͍͠ʯඞਢͰͳ͍
ʮ·͍͠ʯඞਢͰͳ͍
ʮ·͍͠ʯඞਢͰͳ͍
ͯ͞ɺԿ͕Δඞཁͷ ͋Δରࡦͳͷ͔
None
None
None
෮श͠·͠ΐ͏ɻ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ ۀքஂମͷΨΠυϥΠϯ
WebγεςϜ͕ड͚Δ ߈ܸͱ
ใηΩϡϦςΟ10େڴҖ
ใηΩϡϦςΟ10େڴҖ
OWASP Top10 OWASP (The Open Web Application Security Project) ͕ൃද͢Δɺॏ
ཁͳڴҖΛ·ͱΊͨυΩϡϝϯτɻϦεΫͷߴ͞߈ܸγφϦΦ·ͱ ·͍ͬͯΔͷͰɺඇৗʹࢀߟʹͳΔɻ https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
OWASP Top10 (2013)
OWASP Top10 (2013)
OWASP Top10 (2013)
OWASP Top10 (2013)
Δ͖ରࡦͱ
҆શͳΣϒαΠτͷ࡞Γํ http://www.ipa.go.jp/security/vuln/websecurity.html
҆શͳΣϒαΠτͷ࡞Γํ ։ൃ࣌ʹ࣮ࢪ͖͢ηΩϡϦςΟରࡦʹ͍ͭ ͯ·ͱΊΒΕ͍ͯ·͢ɻ
҆શͳΣϒαΠτͷ࡞ΓํɹνΣοΫϦετ
੬ऑੑͷݟ͚ͭํ
Σϒ݈߁அ༷ ΣϒΞϓϦͷ੬ऑੑݕࠪͷํ๏ʹ͍ͭͯ· ͱΊΒΕ͍ͯ·͢ɻ
੬ऑͳαΠτͰ੬ऑੑΛݟ͚ͭͯΈΑ͏
WebGoat IUUQTHJUIVCDPN8FC(PBU8FC(PBU ͓खܰʹ੬ऑੑΛࢼͤΔ 8FCΞϓϦέʔγϣϯɻ ͱͬͯ੬ऑʂ
੬ऑ͗ͯ͢֎ʹཱͯΔͷ ጨΒΕΔͷͰ
ΦεεϝDockerͰʂ docker run -p 8080:8080 webgoat/webgoat-7.1
IUUQMPDBMIPTU8FC(PBU HVFTUHVFTUͰϩάΠϯͨ͠Β
ϝχϡʔ͔Βࢼ͍ͨ͠੬ऑੑΛ୳ͯ͠༡΅͏ʂ
੬ऑੑνΣοΫπʔϧ 08"41;"1 08"41͕ఏڙ͢Δπʔϧɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"41@;FE@"UUBDL@1SPYZ@1SPKFDU
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̍ʣ ;"1ͷΦϓγϣϯ͔ΒɺʮϩʔΧϧɾ ϓϩΩγʯΛઃఆ͢Δɻ ઌఔͷ8FC(PBU͕Ͱಈ͍͍ͯ Δͱࢥ͏ͷͰɺॏͳΒͳ͍ϙʔτͰಈ ͔͠·͠ΐ͏ʂʢྫͰʣ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̎ʣ ωοτϫʔΫઃఆ͔Β8FCϓϩ ΩγΛઃఆɻઌఔͷ;"1Ͱઃఆ ͨ͠ϙʔτΛࢦఆͯ͠Լ͍͞ɻ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̐ʣ ϒϥβ͔Β ΞΫηεΛ࣮ߦ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̑ʣ ΞΫηεΛั֫ʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖͑ͯ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖͑ͯ (0
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ ଓ͖Λ(0ʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̔ʣ ϒϥβʹϨεϙϯε͕දࣔ͞ΕΔʂ
͓खܰʹ͍ΖΜͳ੬ऑੑΛπʔϧͰ νΣοΫͯ͘͠ΕͨΒ͍͍ͷʹʂ
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠ (0
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̎ʣ ࣌ؒ݁ߏ͔͔Δɻ ʢવαΠτنʹΑΔʣ ͜ΕSVCZHPBUͱ͍͏ผͷ(PBUͰͷ݁Ռɻ ɻ