Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Search
zash_shibainu
January 10, 2019
0
240
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
January 10, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
0
63
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
89
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
410
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
510
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
220
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
490
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
890
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
140
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
130
Featured
See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Typedesign – Prime Four
hannesfritz
40
2.4k
Facilitating Awesome Meetings
lara
50
6.1k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Fireside Chat
paigeccino
34
3.1k
Side Projects
sachag
452
42k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Transcript
None
0:自己紹介 1:今日の目的 2:Snakes&Ladders説明 3:Let's Play(Beer Bash!!) 4:まとめ eLV セキュリティシリーズ#2
本資料は基本的に公開します! ガリガリメモらなくておk!! マークのあるページは別です! 写真、SNS投稿などもNG!! 酒は飲んでも飲まれるな( ゚Д゚)y─┛~~ 私の勉強会はアルコールおkです! eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2 名前(ハンドル) 柴雑種(@zash_shibainu) 名前(本名) 柴田 諭史 仕事(現在) フリーランス・エンジニア -
インフラ - セキュリティ 職歴 2003~2006:プログラマ(デスマ多し…) 2006~2017:インフラエンジニア (基幹系、オンプレ多し) 2017~2018:セキュリティエンジニア(派遣) 2018~:フリーランス
eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける
アプリ開発者 インフラ ネットワーク セキュリティ その他 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
前回、eLV勉強会にてOWASP Top 10をテーマに代表的 なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsと いうものがあります。 アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの
eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view
eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアの セキュリティ環境の現状、 またセキュアなソフトウェア開発を 促進する技術・プロセスに関する 情報共有と普及啓発を目的とした プロフェッショナルの集まる、 オープンソース・ソフトウェアコミュニティ
です。
今はProactive Controlsについて詳しく話はしません! ゲームの中で、Proactive Controlsについて学んでいき ましょう! eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化
7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラ リの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理
eLV セキュリティシリーズ#2
元々は16世紀インド発祥のスゴロク(子供向けゲーム) 詳しくはWikiPediaで! 善行を積めばハシゴを使ってゴールに近づき、悪行を積め ばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子
OWASPのゲームですので、以下のように読み替えます 善行:脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行:脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV
セキュリティシリーズ#2
遊び方はほぼスゴロクと一緒で、サイコロを振ってコマ を進めますが、止まったコマが ヘビの頭のコマ:シッポへワープ(戻る) ハシゴの下段のコマ:上段へワープ(進む) eLV セキュリティシリーズ#2
オリジナルのヘビとハシゴとの差異(ローカルルール) 本家は他のプレイヤーと同じコマに止まった場合、背中に乗 れますが、今回は無しでいきます。 自分の力だけでゴールを目指しましょう! ゴール丁度の目が出なくても、ゴールとします! ヘビ/ハシゴコマに止まった場合のペナルティ(ご褒美) OWASP Top 10およびProactive Controlsの内容を確認して
ください。 何の脆弱性に引っかかってしまったか/何の対策が打てていた か? eLV セキュリティシリーズ#2
ゲーム盤に記載されている脆弱性(Ax)、Proactive Control(Cx)は、それぞれ最新版の適用とします。 それぞれのリリース年が異なるため…順位だけ参照 脆弱性Top10:2017年版 Proactive Controls:2016年版 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
アンケには是非ご協力お願いします!m(_ _)m タイミング合えば、OWASP PRチームにてLT(フィードバック) してきます! ⇒やるしかないんだ…(`・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/
大体21:00目途に終了しますので、それまでにゴールを 目指しましょう! eLV セキュリティシリーズ#2