Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
情報セキュリティ勉強会 実践編
Search
Yusuke Saito
August 30, 2017
Technology
1
730
情報セキュリティ勉強会 実践編
Webアプリの脆弱性対策について
Yusuke Saito
August 30, 2017
Tweet
Share
More Decks by Yusuke Saito
See All by Yusuke Saito
情報セキュリティ勉強会 基礎編
yusuke_saito
2
1.2k
せっかくのグローバルイベントだから海外のエンジニアと話そう!
yusuke_saito
0
510
RFCから読むHTTP/2の仕組みと速さの秘密
yusuke_saito
0
350
Other Decks in Technology
See All in Technology
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.7k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
110
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
いざ、BSC討伐の旅
nikinusu
2
780
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
660
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
410
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
760
Featured
See All Featured
Large-scale JavaScript Application Architecture
addyosmani
510
110k
GitHub's CSS Performance
jonrohan
1030
460k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
Six Lessons from altMBA
skipperchong
27
3.5k
Optimizing for Happiness
mojombo
376
70k
Teambox: Starting and Learning
jrom
133
8.8k
Designing Experiences People Love
moore
138
23k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
890
A Tale of Four Properties
chriscoyier
156
23k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Transcript
ηΩϡϦςΟษڧձ ࣮ફฤ 2017/08/30
࣍ 1. ྫͷΞϨ 2. WebγεςϜ͕ड͚Δ߈ܸͱ 3. Δ͖ରࡦͱ 4. ੬ऑੑͷݟ͚ͭํͱ
ྫͷΞϨ
IUUQXXXTPGUJDPSKQTFNJ@PQQEG
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
ηΩϡϦςΟରࡦͬͯͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ܾͷϙΠϯτɺ
SQLΠϯδΣΫγϣϯରࡦΛࢪͨ͠ ϓϩάϥϜΛఏڙ͖͢࠴
ಉ࣌ʹɺ
ʮ·͍͠ʯඞਢͰͳ͍
ʮ·͍͠ʯඞਢͰͳ͍
ʮ·͍͠ʯඞਢͰͳ͍
ͯ͞ɺԿ͕Δඞཁͷ ͋Δରࡦͳͷ͔
None
None
None
෮श͠·͠ΐ͏ɻ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ
ࡋͰෛ͚ͳ͍ͨΊͷྗ ʮࡋରࡦʯͱͯ͠ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱɺʮͬͯͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏ɾྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ ۀքஂମͷΨΠυϥΠϯ
WebγεςϜ͕ड͚Δ ߈ܸͱ
ใηΩϡϦςΟ10େڴҖ
ใηΩϡϦςΟ10େڴҖ
OWASP Top10 OWASP (The Open Web Application Security Project) ͕ൃද͢Δɺॏ
ཁͳڴҖΛ·ͱΊͨυΩϡϝϯτɻϦεΫͷߴ͞߈ܸγφϦΦ·ͱ ·͍ͬͯΔͷͰɺඇৗʹࢀߟʹͳΔɻ https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
OWASP Top10 (2013)
OWASP Top10 (2013)
OWASP Top10 (2013)
OWASP Top10 (2013)
Δ͖ରࡦͱ
҆શͳΣϒαΠτͷ࡞Γํ http://www.ipa.go.jp/security/vuln/websecurity.html
҆શͳΣϒαΠτͷ࡞Γํ ։ൃ࣌ʹ࣮ࢪ͖͢ηΩϡϦςΟରࡦʹ͍ͭ ͯ·ͱΊΒΕ͍ͯ·͢ɻ
҆શͳΣϒαΠτͷ࡞ΓํɹνΣοΫϦετ
੬ऑੑͷݟ͚ͭํ
Σϒ݈߁அ༷ ΣϒΞϓϦͷ੬ऑੑݕࠪͷํ๏ʹ͍ͭͯ· ͱΊΒΕ͍ͯ·͢ɻ
੬ऑͳαΠτͰ੬ऑੑΛݟ͚ͭͯΈΑ͏
WebGoat IUUQTHJUIVCDPN8FC(PBU8FC(PBU ͓खܰʹ੬ऑੑΛࢼͤΔ 8FCΞϓϦέʔγϣϯɻ ͱͬͯ੬ऑʂ
੬ऑ͗ͯ͢֎ʹཱͯΔͷ ጨΒΕΔͷͰ
ΦεεϝDockerͰʂ docker run -p 8080:8080 webgoat/webgoat-7.1
IUUQMPDBMIPTU8FC(PBU HVFTUHVFTUͰϩάΠϯͨ͠Β
ϝχϡʔ͔Βࢼ͍ͨ͠੬ऑੑΛ୳ͯ͠༡΅͏ʂ
੬ऑੑνΣοΫπʔϧ 08"41;"1 08"41͕ఏڙ͢Δπʔϧɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"41@;FE@"UUBDL@1SPYZ@1SPKFDU
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̍ʣ ;"1ͷΦϓγϣϯ͔ΒɺʮϩʔΧϧɾ ϓϩΩγʯΛઃఆ͢Δɻ ઌఔͷ8FC(PBU͕Ͱಈ͍͍ͯ Δͱࢥ͏ͷͰɺॏͳΒͳ͍ϙʔτͰಈ ͔͠·͠ΐ͏ʂʢྫͰʣ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̎ʣ ωοτϫʔΫઃఆ͔Β8FCϓϩ ΩγΛઃఆɻઌఔͷ;"1Ͱઃఆ ͨ͠ϙʔτΛࢦఆͯ͠Լ͍͞ɻ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̐ʣ ϒϥβ͔Β ΞΫηεΛ࣮ߦ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̑ʣ ΞΫηεΛั֫ʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖͑ͯ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖͑ͯ (0
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ ଓ͖Λ(0ʂ
OWASP ZAPͷ͍ํ ϩʔΧϧϓϩΩγฤʢ̔ʣ ϒϥβʹϨεϙϯε͕දࣔ͞ΕΔʂ
͓खܰʹ͍ΖΜͳ੬ऑੑΛπʔϧͰ νΣοΫͯ͘͠ΕͨΒ͍͍ͷʹʂ
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠ (0
OWASP ZAPͷ͍ํ ηΩϡϦςΟεΩϟϯฤʢ̎ʣ ࣌ؒ݁ߏ͔͔Δɻ ʢવαΠτنʹΑΔʣ ͜ΕSVCZHPBUͱ͍͏ผͷ(PBUͰͷ݁Ռɻ ɻ