OWASP Japan 1st meeting

http://atnd.org/events/26267

 

Introduction

• 可視化することでセキュリティのリスクを議論することができます。
• OWASPのプロジェクトは140程度
• OWASPのトップ10のドキュメントは日本語が用意されてます
• Mobile TOP10やZAP、LiveCD、Goatroid　あたりがホットトピックスです
• MLを見るだけでメンバーに、有料のメンバー会員もある。
• ambassadorになってほしい、どこでもOWASP Japanのネタを話して欲しい。
• いろんなネタを10分で語って欲しい、ウェブアプリケーションセキュリティについて公開していい情報を継続して話して欲しい

長谷川洋介　Introduction CSP

• CSP、コンテンツセキュリティポリシー。本読んでね
• XSS根絶の切り札。インラインスクリプトが禁止される、evalやイベントも禁止。
• Firefox4+、Chrome 18+などで実装されている。
• レスポンスヘッダで許可するリソースを指定する。
  • Firefoxとwebkitでヘッダ名が違う。＿。
• リソースの種類ごとに指定可能、イメージのソースは別ドメインから読める、とか。
• ポリシー違反時にレポートを送信する。
• 安全だけど、広告やアクセス解析のJSは動かない。運用がめんどくさい。実用的では、まだ、ない。
• 5分で破るCSP
  • selfの設定だとナニをやっても破れない？
  • E4X？
    • Firefoxだけがサポートする機能
    • JSないでXML型をサポートする。
    • 自分自身は読み込み可能。HTMLをJSと解釈させれば勝てる。
      • 一度htmlタグを閉じて、JSを書いて、またhtmlタグを書くとJSとしても文法は正しくなる。
    • 守り方、doctype宣言をつけておこう。

takesako　脆弱なwebサーバーを作ってみた

• サイボウズユニバーシティ、教育コンテンツを取りまとめた。
• その中で脆弱なwebサーバーを作って攻撃してもらう講座を行った。
• 演習しないと面白くないよね
  • badstore.netの紹介。うちの会社でも使った。これはとても便利でワクワクする。
• どうやって課題を作ったか？
  • 意図しない商品リストを出させる。
• 基本的にこのセッションは紹介すると楽しみが減るので紹介しない。
• その他の課題
  • AppGoat
  • Web Security Dojo
  • OWASP web goat project
• 警告、他人のサーバーを攻撃しない。

徳丸さん　ここが変だよ、グローバルスタンダードの脆弱性対策～入力値の考え方～

• 今日はOWASP TOP10 2004を取り上げます。
• 入力データの未検証、が一番問題になっている。
• CWEは脆弱性タイプ一覧のこと。
• CWE-20はかなり脆弱性が多くてざっくりしすぎてる。
• Ajaxセキュリティ本のバリデーション至上主義を叩く！
  • メアドに or 1 =1 –@example.com　みたいな人もいる。RFC的にOK
  • アポストロフィの数を制限する？落ち着け。
• バリデーションで防げる脆弱性もそれなりにある。完全ではない。
• 2007ではバリデーションが消えた、2010年でも消えた。 

加藤義賢　バイナリパッチによるアンドロイドアプリの改ざんとセキュリティチェックのバイパス

• MBSDさんのかた、いつもお世話になっております。
• アンドロイドのリバースエンジニアリングは比較的簡単。
• バイナリエディタ、dexdump　を使う。
• dexdump
  • AndroidSDKに入ってる誰でも使えるツール
• apkファイルの中野classes.dexに対してツールを書けます。
• 注意：リバースエンジニアリングは規約で禁止されています。
• ターゲット：自作アプリ、目標、何らかのチェックをバイパスする
• 手順
  • apkファイルの入手
  • dexdumpでターゲットの特定
  • パッチ、chksumの編集も忘れずに
  • CRC再計算
  • zip化と署名
• まとめ
  • アプリの改ざんはとても簡単
  • アプリのチェックルーチンは全部バイパスできる
    • クライアントを信頼しないというアタリマエのことですね。
    • webapiでOKだけ返すのもダメ
    • webだとみんなやらないけど、Androidだと結構ある。

アイザック・ドーソン　ブロークンロジック：テストサイト

• スキャナのナニが問題か？
  • 全部のサイトはクローズドソース
  • 不完全な技術や脆弱性の範囲
  • 非現実的なフォームの検証やチェック
  • ブロークンサイト
  • 非現実的、偽の欠陥
• ほとんどのサイトはPHPかASP、MySQLかMS-Access、脆弱性を持っている
  • Webinspectは最悪！XSSのチェックはたいてい1つだけ。
• よくわからなかった。NT?、英語は綺麗だった。
• ブロークンサイトとは、すでにエラーを吐いてる残念なサイトのこと
  • アプリケーションが稼動してるかどうか信頼できない時、スキャナの結果も信頼できない。
• 偽の欠陥
  • 例えばAppScanはディレクトリトラバーサルを探す時、D:ドライブしか探しに行かない。
    • システムファイルをアプリケーション設定を探してから、探索するドライブを決定すればいいのに。
    • D;が存在しなかったら？
• テストサイトでスキャナの実力派判断できない。

ygungun　僕らの進みち

• 組織の話
• English-nization
• 開発者1600人、テクノロジ色々、サービス色々、対象デバイス色々
• 2つのセキュリティ組織
  • サービスセキュリティと社内セキュリティ
  • 今日はサービス側の話。
    • ペンテスター　4名
    • SOC　3名
    • Appscan運用者　4名
    • アシスタント3名
  • Rakuten-Cert
    • バーチャルな組織、様々なチームからjoin
    • ベストプラクティスの共有
    • CSOが任命された
  • 取り組み
    • 開発プロセス
      • 開発の各項目にセキュリティチェックの仕組みがある。
      • 開発者はセキュリティ教育を受けないと本番環境にコミットできない。
      • QAフェーズは必ずスキャンツールを書ける
      • リリース前に社内ペンテスターが試験する
    • 手動監査について
      • 原則Blackbox、Grayboxも試験中
      • 社外に出すこともある。
      • 250件のペンテストを行った。結構脆弱性が見つかる。
      • 1位 XSS、2位 Error Codes、3位 CSRF
    • 運用の話
      • 脆弱性情報収集、パッチマネジメント、etc
    • セキュアデべロップメントサイクル頑張りたい
    • アジャイルとセキュリティの融合
    • OWASPやセキュキャンのスポンサーしてます。
    • 海外との連携頑張ってます。ここはすごく興味があるけど詳細は割愛

上野宣　webアプリケーションセキュリティ要件定義書の提案

• 要件定義と設計が重要、設計以前のフェーズでの修正は最もコストが安い。
  • 仕様のミスとかと一緒の話。設計のレビューを増やせば増やすほどアジャイルとの戦いもあるし、ないところもいっぱいある。（私のコメント
• 開発工程別脆弱性発見割合、要件20、設計38、実装37％。過半数は要件と設計
• セキュリティ要件定義書、責任分界点を明らかにしたい、でもどう書いていいかみんなわからない。
  • 瑕疵担保責任をどうするか？
• webアプリの攻撃の大半は対策が明確、つまり明確。
  • 長谷川さんの攻撃は長谷川さんしかしない。
• トライコーダーではセキュリティ要件書を無償公開している。
  • http://www.tricorder.jp/archives/web_system_security_document.pdf
• こういうものを一緒に作っていける人を募集している。英語化もしたい。