matsutakegohan1's blog

matsutakegohan1(きゅーぞう)による、釣り、狩猟、技術?、セキュリティ?、その他の話

セキュリティ

OWASP Japan 1st meeting

投稿日:

http://atnd.org/events/26267

 

Introduction

  • 可視化することでセキュリティのリスクを議論することができます。
  • OWASPのプロジェクトは140程度
  • OWASPのトップ10のドキュメントは日本語が用意されてます
  • Mobile TOP10やZAP、LiveCD、Goatroid あたりがホットトピックスです
  • MLを見るだけでメンバーに、有料のメンバー会員もある。
  • ambassadorになってほしい、どこでもOWASP Japanのネタを話して欲しい。
  • いろんなネタを10分で語って欲しい、ウェブアプリケーションセキュリティについて公開していい情報を継続して話して欲しい

長谷川洋介 Introduction CSP

  • CSP、コンテンツセキュリティポリシー。本読んでね
  • XSS根絶の切り札。インラインスクリプトが禁止される、evalやイベントも禁止。
  • Firefox4+、Chrome 18+などで実装されている。
  • レスポンスヘッダで許可するリソースを指定する。
    • Firefoxとwebkitでヘッダ名が違う。_。
  • リソースの種類ごとに指定可能、イメージのソースは別ドメインから読める、とか。
  • ポリシー違反時にレポートを送信する。
  • 安全だけど、広告やアクセス解析のJSは動かない。運用がめんどくさい。実用的では、まだ、ない。
  • 5分で破るCSP
    • selfの設定だとナニをやっても破れない?
    • E4X?
      • Firefoxだけがサポートする機能
      • JSないでXML型をサポートする。
      • 自分自身は読み込み可能。HTMLをJSと解釈させれば勝てる。
        • 一度htmlタグを閉じて、JSを書いて、またhtmlタグを書くとJSとしても文法は正しくなる。
      • 守り方、doctype宣言をつけておこう。

takesako 脆弱なwebサーバーを作ってみた

  • サイボウズユニバーシティ、教育コンテンツを取りまとめた。
  • その中で脆弱なwebサーバーを作って攻撃してもらう講座を行った。
  • 演習しないと面白くないよね
    • badstore.netの紹介。うちの会社でも使った。これはとても便利でワクワクする。
  • どうやって課題を作ったか?
    • 意図しない商品リストを出させる。
  • 基本的にこのセッションは紹介すると楽しみが減るので紹介しない。
  • その他の課題
    • AppGoat
    • Web Security Dojo
    • OWASP web goat project
  • 警告、他人のサーバーを攻撃しない。

徳丸さん ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~

  • 今日はOWASP TOP10 2004を取り上げます。
  • 入力データの未検証、が一番問題になっている。
  • CWEは脆弱性タイプ一覧のこと。
  • CWE-20はかなり脆弱性が多くてざっくりしすぎてる。
  • Ajaxセキュリティ本のバリデーション至上主義を叩く!
    • メアドに or 1 =1 –@example.com みたいな人もいる。RFC的にOK
    • アポストロフィの数を制限する?落ち着け。
  • バリデーションで防げる脆弱性もそれなりにある。完全ではない。
  • 2007ではバリデーションが消えた、2010年でも消えた。 

加藤義賢 バイナリパッチによるアンドロイドアプリの改ざんとセキュリティチェックのバイパス

  • MBSDさんのかた、いつもお世話になっております。
  • アンドロイドのリバースエンジニアリングは比較的簡単。
  • バイナリエディタ、dexdump を使う。
  • dexdump
    • AndroidSDKに入ってる誰でも使えるツール
  • apkファイルの中野classes.dexに対してツールを書けます。
  • 注意:リバースエンジニアリングは規約で禁止されています。
  • ターゲット:自作アプリ、目標、何らかのチェックをバイパスする
  • 手順
    • apkファイルの入手
    • dexdumpでターゲットの特定
    • パッチ、chksumの編集も忘れずに
    • CRC再計算
    • zip化と署名
  • まとめ
    • アプリの改ざんはとても簡単
    • アプリのチェックルーチンは全部バイパスできる
      • クライアントを信頼しないというアタリマエのことですね。
      • webapiでOKだけ返すのもダメ
      • webだとみんなやらないけど、Androidだと結構ある。

アイザック・ドーソン ブロークンロジック:テストサイト

  • スキャナのナニが問題か?
    • 全部のサイトはクローズドソース
    • 不完全な技術や脆弱性の範囲
    • 非現実的なフォームの検証やチェック
    • ブロークンサイト
    • 非現実的、偽の欠陥
  • ほとんどのサイトはPHPかASP、MySQLかMS-Access、脆弱性を持っている
    • Webinspectは最悪!XSSのチェックはたいてい1つだけ。
  • よくわからなかった。NT?、英語は綺麗だった。
  • ブロークンサイトとは、すでにエラーを吐いてる残念なサイトのこと
    • アプリケーションが稼動してるかどうか信頼できない時、スキャナの結果も信頼できない。
  • 偽の欠陥
    • 例えばAppScanはディレクトリトラバーサルを探す時、D:ドライブしか探しに行かない。
      • システムファイルをアプリケーション設定を探してから、探索するドライブを決定すればいいのに。
      • D;が存在しなかったら?
  • テストサイトでスキャナの実力派判断できない。

ygungun 僕らの進みち

  • 組織の話
  • English-nization
  • 開発者1600人、テクノロジ色々、サービス色々、対象デバイス色々
  • 2つのセキュリティ組織
    • サービスセキュリティと社内セキュリティ
    • 今日はサービス側の話。
      • ペンテスター 4名
      • SOC 3名
      • Appscan運用者 4名
      • アシスタント3名
    • Rakuten-Cert
      • バーチャルな組織、様々なチームからjoin
      • ベストプラクティスの共有
      • CSOが任命された
    • 取り組み
      • 開発プロセス
        • 開発の各項目にセキュリティチェックの仕組みがある。
        • 開発者はセキュリティ教育を受けないと本番環境にコミットできない。
        • QAフェーズは必ずスキャンツールを書ける
        • リリース前に社内ペンテスターが試験する
      • 手動監査について
        • 原則Blackbox、Grayboxも試験中
        • 社外に出すこともある。
        • 250件のペンテストを行った。結構脆弱性が見つかる。
        • 1位 XSS、2位 Error Codes、3位 CSRF
      • 運用の話
        • 脆弱性情報収集、パッチマネジメント、etc
      • セキュアデべロップメントサイクル頑張りたい
      • アジャイルとセキュリティの融合
      • OWASPやセキュキャンのスポンサーしてます。
      • 海外との連携頑張ってます。ここはすごく興味があるけど詳細は割愛

上野宣 webアプリケーションセキュリティ要件定義書の提案

  • 要件定義と設計が重要、設計以前のフェーズでの修正は最もコストが安い。
    • 仕様のミスとかと一緒の話。設計のレビューを増やせば増やすほどアジャイルとの戦いもあるし、ないところもいっぱいある。(私のコメント
  • 開発工程別脆弱性発見割合、要件20、設計38、実装37%。過半数は要件と設計
  • セキュリティ要件定義書、責任分界点を明らかにしたい、でもどう書いていいかみんなわからない。
    • 瑕疵担保責任をどうするか?
  • webアプリの攻撃の大半は対策が明確、つまり明確。
    • 長谷川さんの攻撃は長谷川さんしかしない。
  • トライコーダーではセキュリティ要件書を無償公開している。
  • こういうものを一緒に作っていける人を募集している。英語化もしたい。

 

-セキュリティ

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

idcon #10

例によっていつものメモをそのまま公開メモが少ないところは仕事してました。 —– toru maesaka google account toolkitのはなし、途中からだったの …

no image

AVTokyo 2011 The Story behind The Story of Cyber Crime by daiki.fukumori

相変わらずのメモのだだばり。 —— チュニジアのハッカー文字、ギャル文字みたいなもの haAAAQ3d -> hacked r5t -> random string …

ブルース・シュナイアーさんの安全なパスワード文字列の作り方

前回は、サービスごとにユニークなパスワードを作る方法を提案しました。 今日一緒にランチを食べていた、元同僚からこんなことを教わりました。 「似たことを、ブルース・シュナイアーが言ってたよ」 ブルース・ …

no image

ブラックハットジャパンその後2011

恒例のメモをそのままアップ   ブラックハットジャパンその後2011 まっちゃ After A.D.200X 最近のセキュリティ勉強会では不正アクセス禁止法を知らないんじゃないかというネタ …

no image

AVTOKYO 2010

はせがわようすけ IEへの腐ったミルク攻撃 難解セキュリティ jjencodeで難読化されたコードが実際の攻撃に利用された IE6 MUST DIE IE7,8もひどいです IE9に向けて 放置された …

第一精工の高速リサイクラーはすべての釣り人の必需品だと思っています。糸の巻き替え、巻き直しにこれが在るのと無いのでは天地の差があります!

シマノの防水クッションは、すべての時期で船釣りのオトモ。一番小さいサイズで大抵大丈夫です。冷えから守ってくれたり、エンジンの振動から守ってくれたり、寝るときに枕になります。

%d人のブロガーが「いいね」をつけました。