Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開

9.617 visualizaciones

Publicado el

「オワスプデイ in TOKYO 2016 Spring!!」の発表資料です。

Publicado en: Tecnología
  • Sé el primero en comentar

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開

  1. 1. OWASP Testing Guide からはじめよう セキュリティ診断技術の共有、そして横展開
  2. 2. セキュリティテストの技術共有を 目的としたコミュニティをつくりたい
  3. 3. nishimunea (cv: Muneaki Nishimura) Weekend Bug Hunter Lecturer of Security Camp 2014-2015
  4. 4. きっかけは転職 攻撃する側 防御する側
  5. 5. 攻撃する側 防御する側 一つでも穴を見つければ勝ち 全ての攻撃を防がなければ負け : :
  6. 6. 体系的なセキュリティテストの 技術を身につけたい 診断士やバグハンターが集い 共に学ぶ場があると良いのでは!
  7. 7. 情報共有スペースを作りました https://sec-testing.slack.com
  8. 8. 登録はこちら(Slackin)から http://csrf.jp:3000
  9. 9. 熟練者だけでなく初心者も集える場に (マサカリ禁止)
  10. 10. • このツールを使うと便利ですよ • うちの会社ではこういったテストをやってますよ • この脆弱性の攻撃コードって公開されてますか? 例えばこんな会話がしたい
  11. 11. ゆくゆくはこんな会話がしたい
  12. 12. LIMIT 1 UNION ALL SELECT User, Password FROM mysql.user; 診断で困ってます。MySQLの複数行クエリ無効時に 以下のLIMIT句でSQLインジェクションは可能ですか? SELECT title, content FROM posts ORDER BY date DESC LIMIT $INJECTION; それなら、普通に UNION が使えませんか?
  13. 13. それが、直前に ORDER BY があるので UNION は使えないんです。 LIMIT 1 PROCEDURE ANALYZE (ExtractValue(1,concat(0x2c,user())),1) ; だったら、PROCEDURE ANALYZEはどうでしょう? で、できました!ありがとうございます!
  14. 14. 例えば OWASP Testing Guide を読んで わからないことを質問してみよう
  15. 15. 99の技術領域をカバーしたテストガイド (しかも無料)
  16. 16. • 情報収集 • 入力値検証 • コンフィグとデプロイの管理 • エラーハンドリング • ID管理 • 弱い暗号 • 認証 • ビジネスロジック • 認可 • クライアントテスト • セッション管理
  17. 17. • information-gathering • injection-general • config-and-deploy • error-handling • identity-management • crypto • authentication • business-logic • authorization • new-features • session-management • etc. Slack の Channel は OWASP Testing Guide v4 の目次に対応
  18. 18. 2014年9月リリース 古い記述や足りないテストケースもある
  19. 19. アップデートの予定はないのか リーダーの Andrew Muller に聞いてみた
  20. 20. で、キミは何をコントリビュートできんの? 今年は2年に1度のアップデートの年!
  21. 21. • コミュニティで共有されたテスト情報は OWASP Testing Project にフィードバック • 次版のガイドに Reviewer として 名前が載るといいね!
  22. 22. 登録はこちら(Slackin)から http://csrf.jp:3000

×