Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Search
zash_shibainu
January 10, 2019
0
240
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
January 10, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
0
63
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
88
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
410
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
510
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
210
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
490
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
880
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
140
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
130
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
41
2.1k
Code Review Best Practice
trishagee
64
17k
How to Think Like a Performance Engineer
csswizardry
19
1.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
A Tale of Four Properties
chriscoyier
156
23k
Typedesign – Prime Four
hannesfritz
39
2.4k
GraphQLとの向き合い方2022年版
quramy
43
13k
How STYLIGHT went responsive
nonsquared
95
5.2k
BBQ
matthewcrist
85
9.3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
167
49k
Transcript
None
0:自己紹介 1:今日の目的 2:Snakes&Ladders説明 3:Let's Play(Beer Bash!!) 4:まとめ eLV セキュリティシリーズ#2
本資料は基本的に公開します! ガリガリメモらなくておk!! マークのあるページは別です! 写真、SNS投稿などもNG!! 酒は飲んでも飲まれるな( ゚Д゚)y─┛~~ 私の勉強会はアルコールおkです! eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2 名前(ハンドル) 柴雑種(@zash_shibainu) 名前(本名) 柴田 諭史 仕事(現在) フリーランス・エンジニア -
インフラ - セキュリティ 職歴 2003~2006:プログラマ(デスマ多し…) 2006~2017:インフラエンジニア (基幹系、オンプレ多し) 2017~2018:セキュリティエンジニア(派遣) 2018~:フリーランス
eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける
アプリ開発者 インフラ ネットワーク セキュリティ その他 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
前回、eLV勉強会にてOWASP Top 10をテーマに代表的 なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsと いうものがあります。 アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの
eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view
eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアの セキュリティ環境の現状、 またセキュアなソフトウェア開発を 促進する技術・プロセスに関する 情報共有と普及啓発を目的とした プロフェッショナルの集まる、 オープンソース・ソフトウェアコミュニティ
です。
今はProactive Controlsについて詳しく話はしません! ゲームの中で、Proactive Controlsについて学んでいき ましょう! eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化
7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラ リの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理
eLV セキュリティシリーズ#2
元々は16世紀インド発祥のスゴロク(子供向けゲーム) 詳しくはWikiPediaで! 善行を積めばハシゴを使ってゴールに近づき、悪行を積め ばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子
OWASPのゲームですので、以下のように読み替えます 善行:脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行:脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV
セキュリティシリーズ#2
遊び方はほぼスゴロクと一緒で、サイコロを振ってコマ を進めますが、止まったコマが ヘビの頭のコマ:シッポへワープ(戻る) ハシゴの下段のコマ:上段へワープ(進む) eLV セキュリティシリーズ#2
オリジナルのヘビとハシゴとの差異(ローカルルール) 本家は他のプレイヤーと同じコマに止まった場合、背中に乗 れますが、今回は無しでいきます。 自分の力だけでゴールを目指しましょう! ゴール丁度の目が出なくても、ゴールとします! ヘビ/ハシゴコマに止まった場合のペナルティ(ご褒美) OWASP Top 10およびProactive Controlsの内容を確認して
ください。 何の脆弱性に引っかかってしまったか/何の対策が打てていた か? eLV セキュリティシリーズ#2
ゲーム盤に記載されている脆弱性(Ax)、Proactive Control(Cx)は、それぞれ最新版の適用とします。 それぞれのリリース年が異なるため…順位だけ参照 脆弱性Top10:2017年版 Proactive Controls:2016年版 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
アンケには是非ご協力お願いします!m(_ _)m タイミング合えば、OWASP PRチームにてLT(フィードバック) してきます! ⇒やるしかないんだ…(`・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/
大体21:00目途に終了しますので、それまでにゴールを 目指しましょう! eLV セキュリティシリーズ#2