Más contenido relacionado
Cybozu.com Security Challenge 結果速報
- 2. 自己紹介
∗ サイボウズ株式会社でサービス / プロダクトの脆
弱性検証を行うチームに所属しています
∗ その他、自社のセキュリティ品質の向上のための
活動をしています。
∗ POC 対応
∗ 組織内のセキュリティ全般
∗ Security Challenge の運営
- 3. cybozu.com Security Challenge
∗ 国内商用クラウド初(弊社調べ)の脆弱性発見コ
ンテスト
∗ 外部のセキュリティ専門家の皆様と協調して、
サービス品質を向上させる活動の一環として、脆
弱性発見コンテストを開催することにいたしまし
た。
∗ プレスリリース
∗ http://group.cybozu.jp/news/13092401.html
- 4. 開催までの経緯
∗ Blog 記事を書きました
∗ cybozu.com Security Challenge ができるまで
∗ http://developer.cybozu.co.jp/tech/?p=6177
∗
∗
∗
∗
∗
サイボウズの脆弱性対応の歴史
サービスにおけるセキュリティインシデントの対応
Cy-SIRT
開催の経緯
開催に向けた準備 etc…
- 7. 結果サマリ
∗ 申込人数
∗ 参加人数
%)
∗ 脆弱性情報の報告者数
∗ 賞金獲得者数(予定)
∗ 脆弱性情報の報告件数
∗ 認定された脆弱性の報告数
95 名
75 名(参加率 78
14
10
41
20
名
名
件
件
∗ 報奨金合計:120 万円前後 (集計中)
- 8. 結果サマリ
∗ アクティブに検証いただいた方(※ 1 )ののべ人
数は、 75 名でした。
∗ 機械的な検証では無い(※2)アクセスで検証い
ただいたリクエスト総計は 566,931 リクエストで
す。
∗ ※ 1 1日 1,000 リクエスト以上の検証を実施いただ
いた方
∗ ※ 2 1日 100,000 リクエスト以上のアクセスが
あった場合、機械的なアクセスと判定しました
- 12. サイボウズが採用する CWE
CWE-16 環境設定
CWE-20 不適切な入力確認
CWE-22 パストラバーサル
CWE-78 OS コマンドインジェクション
CWE-79 クロスサイト・スクリプティング (XSS) )
CWE-89 SQL インジェクション
CWE-93 CRLF Injection (メールヘッダ・インジェク
ション)
∗ CWE-113 HTTP ヘッダ・インジェクション
∗ CWE-200 情報漏えい
∗ CWE-264 認可・権限・アクセス制御
∗
∗
∗
∗
∗
∗
∗
- 13. サイボウズが採用する CWE
∗ CWE-287 不適切な認証
∗ CWE-352 クロスサイト・リクエスト・フォージェリ
( CSRF )
∗ CWE-362 競合状態
∗ CWE-384 Session Fixation
∗ CWE-399 リソース管理の問題
∗ CWE-601 オープンリダイレクタ
∗ CWE-614 ログインの不備 - クッキーのセキュア属性不
備
∗ CWE-Other (その他)
∗ CWE-DesignError (システム設計上の問題)