Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
zash_shibainu
January 10, 2019
0
260
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
January 10, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
0
71
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
98
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
530
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
230
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
580
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
950
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
140
Featured
See All Featured
Faster Mobile Websites
deanohume
310
31k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Building a Scalable Design System with Sketch
lauravandoore
463
34k
Embracing the Ebb and Flow
colly
88
5k
The Power of CSS Pseudo Elements
geoffreycrofte
80
6.2k
KATA
mclloyd
PRO
34
15k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
180
Discover your Explorer Soul
emna__ayadi
2
1.1k
RailsConf 2023
tenderlove
30
1.3k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.6k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
110
Transcript
None
0:自己紹介 1:今日の目的 2:Snakes&Ladders説明 3:Let's Play(Beer Bash!!) 4:まとめ eLV セキュリティシリーズ#2
本資料は基本的に公開します! ガリガリメモらなくておk!! マークのあるページは別です! 写真、SNS投稿などもNG!! 酒は飲んでも飲まれるな( ゚Д゚)y─┛~~ 私の勉強会はアルコールおkです! eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2 名前(ハンドル) 柴雑種(@zash_shibainu) 名前(本名) 柴田 諭史 仕事(現在) フリーランス・エンジニア -
インフラ - セキュリティ 職歴 2003~2006:プログラマ(デスマ多し…) 2006~2017:インフラエンジニア (基幹系、オンプレ多し) 2017~2018:セキュリティエンジニア(派遣) 2018~:フリーランス
eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける
アプリ開発者 インフラ ネットワーク セキュリティ その他 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
前回、eLV勉強会にてOWASP Top 10をテーマに代表的 なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsと いうものがあります。 アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの
eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view
eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアの セキュリティ環境の現状、 またセキュアなソフトウェア開発を 促進する技術・プロセスに関する 情報共有と普及啓発を目的とした プロフェッショナルの集まる、 オープンソース・ソフトウェアコミュニティ
です。
今はProactive Controlsについて詳しく話はしません! ゲームの中で、Proactive Controlsについて学んでいき ましょう! eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化
7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラ リの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理
eLV セキュリティシリーズ#2
元々は16世紀インド発祥のスゴロク(子供向けゲーム) 詳しくはWikiPediaで! 善行を積めばハシゴを使ってゴールに近づき、悪行を積め ばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子
OWASPのゲームですので、以下のように読み替えます 善行:脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行:脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV
セキュリティシリーズ#2
遊び方はほぼスゴロクと一緒で、サイコロを振ってコマ を進めますが、止まったコマが ヘビの頭のコマ:シッポへワープ(戻る) ハシゴの下段のコマ:上段へワープ(進む) eLV セキュリティシリーズ#2
オリジナルのヘビとハシゴとの差異(ローカルルール) 本家は他のプレイヤーと同じコマに止まった場合、背中に乗 れますが、今回は無しでいきます。 自分の力だけでゴールを目指しましょう! ゴール丁度の目が出なくても、ゴールとします! ヘビ/ハシゴコマに止まった場合のペナルティ(ご褒美) OWASP Top 10およびProactive Controlsの内容を確認して
ください。 何の脆弱性に引っかかってしまったか/何の対策が打てていた か? eLV セキュリティシリーズ#2
ゲーム盤に記載されている脆弱性(Ax)、Proactive Control(Cx)は、それぞれ最新版の適用とします。 それぞれのリリース年が異なるため…順位だけ参照 脆弱性Top10:2017年版 Proactive Controls:2016年版 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
アンケには是非ご協力お願いします!m(_ _)m タイミング合えば、OWASP PRチームにてLT(フィードバック) してきます! ⇒やるしかないんだ…(`・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/
大体21:00目途に終了しますので、それまでにゴールを 目指しましょう! eLV セキュリティシリーズ#2
zash_shibainu
deanohume
denniskardys
lauravandoore
colly
geoffreycrofte
mclloyd
davetheseo
emna__ayadi
tenderlove
malarkey
jcasabona
pwiseman
