Save 37% off PRO during our Black Friday Sale! »

【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf

54560a6350d8c7992ff2dbc7ba1cb421?s=47 zash_shibainu
January 10, 2019
190

 【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf

54560a6350d8c7992ff2dbc7ba1cb421?s=128

zash_shibainu

January 10, 2019
Tweet

Transcript

  1. None
  2. 0:自己紹介 1:今日の目的 2:Snakes&Ladders説明 3:Let's Play(Beer Bash!!) 4:まとめ eLV セキュリティシリーズ#2

  3. 本資料は基本的に公開します! ガリガリメモらなくておk!!   マークのあるページは別です! 写真、SNS投稿などもNG!! 酒は飲んでも飲まれるな( ゚Д゚)y─┛~~ 私の勉強会はアルコールおkです! eLV セキュリティシリーズ#2

  4. eLV セキュリティシリーズ#2 名前(ハンドル) 柴雑種(@zash_shibainu) 名前(本名) 柴田 諭史 仕事(現在) フリーランス・エンジニア -

    インフラ - セキュリティ 職歴 2003~2006:プログラマ(デスマ多し…) 2006~2017:インフラエンジニア       (基幹系、オンプレ多し) 2017~2018:セキュリティエンジニア(派遣) 2018~:フリーランス
  5. eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける

  6. アプリ開発者 インフラ ネットワーク セキュリティ その他 eLV セキュリティシリーズ#2

  7. eLV セキュリティシリーズ#2

  8. 前回、eLV勉強会にてOWASP Top 10をテーマに代表的 なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsと いうものがあります。 アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの

    eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view
  9. eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアの セキュリティ環境の現状、 またセキュアなソフトウェア開発を 促進する技術・プロセスに関する 情報共有と普及啓発を目的とした プロフェッショナルの集まる、 オープンソース・ソフトウェアコミュニティ

    です。
  10. 今はProactive Controlsについて詳しく話はしません! ゲームの中で、Proactive Controlsについて学んでいき ましょう! eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化

    7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラ リの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理
  11. eLV セキュリティシリーズ#2

  12. 元々は16世紀インド発祥のスゴロク(子供向けゲーム) 詳しくはWikiPediaで! 善行を積めばハシゴを使ってゴールに近づき、悪行を積め ばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子

  13. OWASPのゲームですので、以下のように読み替えます 善行:脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行:脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV

    セキュリティシリーズ#2
  14. 遊び方はほぼスゴロクと一緒で、サイコロを振ってコマ を進めますが、止まったコマが ヘビの頭のコマ:シッポへワープ(戻る) ハシゴの下段のコマ:上段へワープ(進む) eLV セキュリティシリーズ#2

  15. オリジナルのヘビとハシゴとの差異(ローカルルール) 本家は他のプレイヤーと同じコマに止まった場合、背中に乗 れますが、今回は無しでいきます。 自分の力だけでゴールを目指しましょう! ゴール丁度の目が出なくても、ゴールとします! ヘビ/ハシゴコマに止まった場合のペナルティ(ご褒美) OWASP Top 10およびProactive Controlsの内容を確認して

    ください。 何の脆弱性に引っかかってしまったか/何の対策が打てていた か? eLV セキュリティシリーズ#2
  16. ゲーム盤に記載されている脆弱性(Ax)、Proactive Control(Cx)は、それぞれ最新版の適用とします。 それぞれのリリース年が異なるため…順位だけ参照 脆弱性Top10:2017年版 Proactive Controls:2016年版 eLV セキュリティシリーズ#2

  17. eLV セキュリティシリーズ#2

  18. アンケには是非ご協力お願いします!m(_ _)m タイミング合えば、OWASP PRチームにてLT(フィードバック) してきます! ⇒やるしかないんだ…(`・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/

  19. 大体21:00目途に終了しますので、それまでにゴールを 目指しましょう! eLV セキュリティシリーズ#2