SlideShare una empresa de Scribd logo

Kobe sec#7 summary

Yukio NAGAO
Yukio NAGAO
1 de 18
Descargar para leer sin conexión
第 7 回 神戸情報セキュリティ勉強会 (セキュメロ) まとめ 2009年01月10日
スケジュール 1. 自己紹介  「今年のセキュリティの抱負」は?  今回のテーマ「Web アプリケーションの脆弱性」への興味。 2. Web AP 脆弱性の実践  簡単なレッスン (キーワード紹介)  ステージ 1 : Web 掲示板の改ざん  ステージ 2 : 設定されていないユーザでログイン 3. グループディスカッション 1. 発注・管理の側から、どのように行動すればよいか? 2. 開発者としてどうすればよいか? 3. その他、主にユーザサイドとして気にかけるところは? 4. 運用・保守サイドで、どう行動すべきか?
自己紹介#1  初参加 7 名です。ありがとうございます!!  今年のセキュリティ抱負  「セキュリティ」もマンネリ化だねぇ。  デモも反応薄いし、ドラマ (ブラックマンデーw) と違うし。  今年は「セキュリティとエンターテイメント」をテーマに!!  「セキュリティいろはカルタ スクリーンセイバー」を!  セキュリティの普及  分からない人に旨く説明できるようになりたい。  子どもが生まれたよ!危険にさらしたくないね。  「閉じたネットワークのセキュリティ弱点」を指摘したい。  地方からの情報発信を!! 自分も「情報発信する側」に回りたい。  「Firewall 監視端末の私的利用」という事件から、「“なぜ” ポリシー を守らなければならないのか」について考える。  制約だけじゃなく、メリットも提供しないと。
自己紹介#2  今年のセキュリティ抱負  レベルアップ  詳しいところを知りたい。体験 (攻撃) してみたい!  P マーク取得を生暖かい目で見つつ、本質を見極めたい。資格も。  セキュリティの勉強を続けたい。  開発ルールを作ってるけど、自分は AP 開発してない。  知識の無い状態で運用する不安。  Web AP は一通りやったので、低層 (NW) レイヤに。  秋のアナリスト試験を合格するために、業務経験を積みたい。  福岡から来ました。西日本は制覇したので、さらにいろんな勉強会に。  その他  スパムメールを撲滅したい!!  インシデントを起こさないよう。  Office 系 AP もセキュリティは?
自己紹介#3  Web アプリケーションセキュリティへの興味  知らない : 9%  体験なし : 82% (キーワード程度は知ってる)  防御できる : 3%  デモできる : 6%  期待するところ #1  勉強会スタッフでも手を動かしたこと無い。ぜんぜんわかってないし。  楽に、Secure AP を作りたい。  擬似環境を作って職場で体験させてみたい。-> これは OK。  診断受けたら、ボロボロと。。。  AP 作ってるけど、祈りながら生活する日々。。攻撃の検知もしたい。  自作 AP に「外部にさらしたとき、安全なの?」という不安が。。。
自己紹介 #4  Web アプリケーションセキュリティへの興味  期待するところ #2  PHP 開発して、「XSS ある」と言われたけど、実際どうすれば?  職場でシステム管理。体験型の教育の手本としたい。  Web トレードへの侵入をどうやって検知するの?  某国の会員サイトで委託業者の AP の診断してもらったが、やはり不 安がある。  防御の知識を身につけたい。  「安全なウェブサイトの作り方 (IPA)」は見た。  「攻撃する人」を見ることが無い。初体験!!  AP 開発の一部をしたものの。。。  その他  指紋認証が破られた(テープ)地方空港のセキュリティが甘い理由?  "WordPress (PHP&MySQL のブログツール)" を普及させたい!
Web AP 脆弱性の実践 : 簡単なレッスン  本日は 110 番の日ですw 絶対悪用禁止!!  簡単な用語説明  だいたい、以下のキーワードは皆さんご存知でした。  SQL インジェクチョン  注入(injection) が語源。SQL に限ったキーワードではない。  XSS (Cross Site Scripting)  動作原理 : 入力データがエスケープされないまま HTML 中に出力され、 タグ文字などが HTML と解釈されスクリプトとして起動される。  OS コマンドインジェクション  OS のコマンドが注入される 。  やられサーバ  LAMP Appliance Linux をベースに。  Apache + Perl + MySQL の掲示板サイト
Web AP 脆弱性の実践 : ステージ 1  Web 掲示板の改ざんに挑戦  http://hostname.domain/~user/board/board.cgi  ユーザとパスワードを提示  やられ環境は Packet Black Hole で監視w  OS コマンドインジェクション  開始 20 分でヒントを出す。  メールアドレス欄  入力値「’| echo」  初の改ざんはヒント提示後 5 分で。  1 番の人より、解説。  「Linux 環境」「OS コマンド」が鍵  「user@domain;echo abc > index.html」  sendmail コマンドの入力値チェックが甘い。  OSインジェクションが可能 -> cgi のソースが見えてしまう。
Web AP 脆弱性の実践 : ステージ 2  環境準備してる最中にも、ステージ 1 の攻撃が続々w  ステージ 1 で使ったものと違う、ID とパスワードでログ インしてみよう!  ステージ 1 でゲットした、board.cgi にヒントが。  開始 10 分でヒント提示。  パスワード欄に SQL インジェクション。  「’ (シングルコーテーション)」がポイント。  「abc ‘ or 1=‘1」。  リアルタイムで、SQL が表示されるw  実際に手を動かして体験するイベントもあります  Capture The Flag (CTF) 東京で勉強会やってます!!  次回セキュメロもこれでいきましょう?
グループディスカッション発表 #1 発注・管理  「受入検査されてない」「管理できてない」のが一番問題  発注側の問題  「見た目重視」で、その他は後回し、という意識。  スキル面で、具体的な技術は抑えていない。  管理面で、納期の厳しさがセキュリティに気を配る余裕を奪う。  受注側の問題  意識やスキルがピンからキリまでいろいろ。  社会環境的には?  運用方針  「リニューアル」などのイベントを契機として、検査をやるとか。  「チェックポイント」を如何に設けるか。  その他  「サービス寿命」の視点で考える。「建築になぞらえる」  「良い Web AP 検査ツール」があれば売れる!!
グループディスカッション発表 #1 発注・管理  発表で使われたマインドマップ
グループディスカッション発表 #2 開発  コーディングルールで決まる!  規約のセキュリティレベルはどう決める?  専門の部署で判断。メジャーなアイテムは反映する方針で。  検査について  相互チェックができれば良いよね。一人だと余裕が無い  検査ツールを使い、大まかラインを満たせるようにすればよい?  実装  特殊文字をはじく、専用のタグを使う。  正規化に使うモジュールでは、必要 (要件) に応じて穴を開ける。  まとめ?  フレームワーク採用で、ルールに沿えば、(だいたい) 問題はおき ないのでは?  アプリケーションのパッチ間隔が短いけど、がんばって適用する!
グループディスカッション発表 #2 開発  QA  Q1. 開発時に見えない問題点はどうフォローする?  A1. 保守メニューに、アプリケーション改版だけでなく、インフラ 面でのフォローも加える!  Q2. パッチ適用に伴うコストはどう考える?  A2. 影響範囲とコスト見合いで、適用可否を決める?
グループディスカッション発表 #3 その他  テーマ自体が定まっていない。  メンバーは IT 系、中学生(しかも発表者!)、農業の方!  発表内容は大変しっかりとしたものでした。  ユーザとして信頼できるサイトの決め方  技術レベル、組織の信頼性?  学校で教えてくれない。具体例をだしてみたら?  J-SOX は企業しか対応してない。  人 (スキルレベル) 依存のセキュリティ。  普通 (小規模) の環境では。。。  セキュリティに興味や関心がある。  でも、実態がついてこない。  「普通の人」の意識を上げるには?
グループディスカッション発表 #4 運用  メンバの困ったこと  ユーザ (知らない人) に安全に使ってもらう必要がある。  運用と開発が分かれるチーム構成に問題。  中国からきたメンバーは、情報をすべて持ち帰りたがる。  攻撃を知る  「攻撃されたか」判断するには、既存の攻撃を知るしかない。  ログベースでは、事象を後から追うことしかできない。  防ぐには  攻撃が無いから被害 (見える効果) がない。  卵が先か、鶏が先か。  費用対効果が説明できない。  パッチ (更新プログラム) を当てる (適用する) 頻度  「出たら当てる」「当ててから考える」の方針とすべきでは?  パッチの要否をどう判断するの?
グループディスカッション発表 #4 運用  システムのバージョンアップ  運用している以上、上げる必要はあるが。  離れたバージョンのアップグレードに悩む  例えば、Windows 2000 Server から Windows Server 2008  情報の収集  情報の樹海から、どう信頼に足るものを選び出すのか。  「セキュリティホール memo」が著名だけど、盲信するものでは ない。  製品の更新情報は?  Windows は情報提供されているが、OSS の場合は?  有償サポートを提供する企業はあるけど、小規模のところでは契約 し辛い。  結局、サイバーノーガード戦法?
グループディスカッション発表 #4 運用  まとめ  言語の壁は辛い。英語や中国語。  情報収集を行おう、情報を共有しよう。  仮想環境を有効に (テストに) 使おう!!  VMware ESXi Server や Hyper-V など、無償で提供されているし。  QA  Windows Update, Linux の yum にある自動アップデートは?  実際にサーバ環境を自動アップデートにしているところがあるが、 これまで問題が起きたことがない!!!
最後に  会場をご用意いただいた、ひょうご情報教育機構(CMU 日 本校) の皆さん、いつも感謝しています。  スピーカのまっちゃだいふくさん、本当にありがとうござ います。  そして、参加された皆さんありがとうございます!!

Recomendados

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
 
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ 130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
 
Proxy War EPISODEⅡ
Proxy War EPISODEⅡProxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよインストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Yuji Kazan
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
 

Recomendados

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
 
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ 130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
 
Proxy War EPISODEⅡ
Proxy War EPISODEⅡProxy War EPISODEⅡ
Proxy War EPISODEⅡ
zaki4649
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよインストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Yuji Kazan
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
 
Practical security
Practical securityPractical security
Practical security
Ron van der Molen
 
Practical Network Security
Practical Network SecurityPractical Network Security
Practical Network Security
Sudarsun Santhiappan
 
Tybsc it sem5 advanced java_practical_soln_downloadable
Tybsc it sem5 advanced java_practical_soln_downloadableTybsc it sem5 advanced java_practical_soln_downloadable
Tybsc it sem5 advanced java_practical_soln_downloadable
Ajit Vishwakarma
 
Informática educação 1ª aula
Informática educação 1ª aulaInformática educação 1ª aula
Informática educação 1ª aula
jhecioosaki
 
Tools for Designing Distance Learning Instruction
Tools for Designing Distance Learning InstructionTools for Designing Distance Learning Instruction
Tools for Designing Distance Learning Instruction
Marsha J. Chan
 
The role of dissolution in the demonstration of bioequivalence
The role of dissolution in the demonstration of bioequivalenceThe role of dissolution in the demonstration of bioequivalence
The role of dissolution in the demonstration of bioequivalence
inemet
 
2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis
karol_ribeiro
 
テスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめテスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめ
kinunori
 
06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)
Study Group by SciencePark Corp.
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
 
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
infinite_loop
 
pgCafeMitaka20090723
pgCafeMitaka20090723pgCafeMitaka20090723
pgCafeMitaka20090723
Noriyuki Nonomura
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
 
Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_
Tech Summit 2016
 
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
Tatsuya Ishikawa
 
DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃
Teruo Adachi
 
DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜
Akihiro Kuwano
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
 
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
株式会社スカイアーチネットワークス
 
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
慎一 古賀
 
第4回勉強会 単体テストのすすめ
第4回勉強会 単体テストのすすめ第4回勉強会 単体テストのすすめ
第4回勉強会 単体テストのすすめ
hakoika-itwg
 
はこだてIKA 第4回勉強会 単体テスト
はこだてIKA 第4回勉強会 単体テストはこだてIKA 第4回勉強会 単体テスト
はこだてIKA 第4回勉強会 単体テスト
Seiji KOMATSU
 

Más contenido relacionado

Destacado

Informática educação 1ª aula
Informática educação 1ª aulaInformática educação 1ª aula
Informática educação 1ª aula
jhecioosaki
 
2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis
karol_ribeiro
 

Destacado (7)

Practical security
Practical securityPractical security
Practical security
 
Practical Network Security
Practical Network SecurityPractical Network Security
Practical Network Security
 
Tybsc it sem5 advanced java_practical_soln_downloadable
Tybsc it sem5 advanced java_practical_soln_downloadableTybsc it sem5 advanced java_practical_soln_downloadable
Tybsc it sem5 advanced java_practical_soln_downloadable
 
Informática educação 1ª aula
Informática educação 1ª aulaInformática educação 1ª aula
Informática educação 1ª aula
 
Tools for Designing Distance Learning Instruction
Tools for Designing Distance Learning InstructionTools for Designing Distance Learning Instruction
Tools for Designing Distance Learning Instruction
 
The role of dissolution in the demonstration of bioequivalence
The role of dissolution in the demonstration of bioequivalenceThe role of dissolution in the demonstration of bioequivalence
The role of dissolution in the demonstration of bioequivalence
 
2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis2572008184802manual medicamentos injetaveis
2572008184802manual medicamentos injetaveis
 

Similar a Kobe sec#7 summary

DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃
Teruo Adachi
 
DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜
Akihiro Kuwano
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
 
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
株式会社スカイアーチネットワークス
 
第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー
Tomoyuki Sato
 
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
de:code 2017
 

Similar a Kobe sec#7 summary (20)

テスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめテスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめ
 
06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
 
pgCafeMitaka20090723
pgCafeMitaka20090723pgCafeMitaka20090723
pgCafeMitaka20090723
 
Java/Androidセキュアコーディング
Java/AndroidセキュアコーディングJava/Androidセキュアコーディング
Java/Androidセキュアコーディング
 
Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_Prd008 日本初!“windows 10_team”_os_
Prd008 日本初!“windows 10_team”_os_
 
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
【SQiP2014】システム操作インターフェイス最適化によるテスト自動化ROI向上
 
DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃DevOpsが引き金となるインフラエンジニアの進撃
DevOpsが引き金となるインフラエンジニアの進撃
 
DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜DevOpsのはじめの一歩 〜監視の変遷〜
DevOpsのはじめの一歩 〜監視の変遷〜
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
 
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
スカイアーチセミナー:自社アプリをクラウド展開する為の『失敗しない3つの法則
 
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
ちゃんとした C# プログラムを書けるようになる実践的な方法~ Visual Studio を使った 高品質・低コスト・保守性の高い開発
 
第4回勉強会 単体テストのすすめ
第4回勉強会 単体テストのすすめ第4回勉強会 単体テストのすすめ
第4回勉強会 単体テストのすすめ
 
はこだてIKA 第4回勉強会 単体テスト
はこだてIKA 第4回勉強会 単体テストはこだてIKA 第4回勉強会 単体テスト
はこだてIKA 第4回勉強会 単体テスト
 
WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪WordPressとリスク管理 at 第42回 WordBench大阪
WordPressとリスク管理 at 第42回 WordBench大阪
 
第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー第3回ソフトウェアテストセミナー
第3回ソフトウェアテストセミナー
 
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
 
OpenSpan_PreMarketing
OpenSpan_PreMarketingOpenSpan_PreMarketing
OpenSpan_PreMarketing
 
IT魔導の書 ~ Grimoire du IT
IT魔導の書 ~ Grimoire du ITIT魔導の書 ~ Grimoire du IT
IT魔導の書 ~ Grimoire du IT
 

Más de Yukio NAGAO

Kobe sec#14 study
Kobe sec#14 studyKobe sec#14 study
Kobe sec#14 study
Yukio NAGAO
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
Yukio NAGAO
 
Atrandom.20101030
Atrandom.20101030Atrandom.20101030
Atrandom.20101030
Yukio NAGAO
 
Matcha445.20101023
Matcha445.20101023Matcha445.20101023
Matcha445.20101023
Yukio NAGAO
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summary
Yukio NAGAO
 
Kobe sec#11 summary
Kobe sec#11 summaryKobe sec#11 summary
Kobe sec#11 summary
Yukio NAGAO
 
Kobe sec#12 summary
Kobe sec#12 summaryKobe sec#12 summary
Kobe sec#12 summary
Yukio NAGAO
 

Más de Yukio NAGAO (8)

Neta 20161119-after
Neta 20161119-afterNeta 20161119-after
Neta 20161119-after
 
Kobe sec#14 study
Kobe sec#14 studyKobe sec#14 study
Kobe sec#14 study
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
 
Atrandom.20101030
Atrandom.20101030Atrandom.20101030
Atrandom.20101030
 
Matcha445.20101023
Matcha445.20101023Matcha445.20101023
Matcha445.20101023
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summary
 
Kobe sec#11 summary
Kobe sec#11 summaryKobe sec#11 summary
Kobe sec#11 summary
 
Kobe sec#12 summary
Kobe sec#12 summaryKobe sec#12 summary
Kobe sec#12 summary
 

Kobe sec#7 summary

  • 1. 第 7 回 神戸情報セキュリティ勉強会 (セキュメロ) まとめ 2009年01月10日
  • 2. スケジュール 1. 自己紹介  「今年のセキュリティの抱負」は?  今回のテーマ「Web アプリケーションの脆弱性」への興味。 2. Web AP 脆弱性の実践  簡単なレッスン (キーワード紹介)  ステージ 1 : Web 掲示板の改ざん  ステージ 2 : 設定されていないユーザでログイン 3. グループディスカッション 1. 発注・管理の側から、どのように行動すればよいか? 2. 開発者としてどうすればよいか? 3. その他、主にユーザサイドとして気にかけるところは? 4. 運用・保守サイドで、どう行動すべきか?
  • 3. 自己紹介#1  初参加 7 名です。ありがとうございます!!  今年のセキュリティ抱負  「セキュリティ」もマンネリ化だねぇ。  デモも反応薄いし、ドラマ (ブラックマンデーw) と違うし。  今年は「セキュリティとエンターテイメント」をテーマに!!  「セキュリティいろはカルタ スクリーンセイバー」を!  セキュリティの普及  分からない人に旨く説明できるようになりたい。  子どもが生まれたよ!危険にさらしたくないね。  「閉じたネットワークのセキュリティ弱点」を指摘したい。  地方からの情報発信を!! 自分も「情報発信する側」に回りたい。  「Firewall 監視端末の私的利用」という事件から、「“なぜ” ポリシー を守らなければならないのか」について考える。  制約だけじゃなく、メリットも提供しないと。
  • 4. 自己紹介#2  今年のセキュリティ抱負  レベルアップ  詳しいところを知りたい。体験 (攻撃) してみたい!  P マーク取得を生暖かい目で見つつ、本質を見極めたい。資格も。  セキュリティの勉強を続けたい。  開発ルールを作ってるけど、自分は AP 開発してない。  知識の無い状態で運用する不安。  Web AP は一通りやったので、低層 (NW) レイヤに。  秋のアナリスト試験を合格するために、業務経験を積みたい。  福岡から来ました。西日本は制覇したので、さらにいろんな勉強会に。  その他  スパムメールを撲滅したい!!  インシデントを起こさないよう。  Office 系 AP もセキュリティは?
  • 5. 自己紹介#3  Web アプリケーションセキュリティへの興味  知らない : 9%  体験なし : 82% (キーワード程度は知ってる)  防御できる : 3%  デモできる : 6%  期待するところ #1  勉強会スタッフでも手を動かしたこと無い。ぜんぜんわかってないし。  楽に、Secure AP を作りたい。  擬似環境を作って職場で体験させてみたい。-> これは OK。  診断受けたら、ボロボロと。。。  AP 作ってるけど、祈りながら生活する日々。。攻撃の検知もしたい。  自作 AP に「外部にさらしたとき、安全なの?」という不安が。。。
  • 6. 自己紹介 #4  Web アプリケーションセキュリティへの興味  期待するところ #2  PHP 開発して、「XSS ある」と言われたけど、実際どうすれば?  職場でシステム管理。体験型の教育の手本としたい。  Web トレードへの侵入をどうやって検知するの?  某国の会員サイトで委託業者の AP の診断してもらったが、やはり不 安がある。  防御の知識を身につけたい。  「安全なウェブサイトの作り方 (IPA)」は見た。  「攻撃する人」を見ることが無い。初体験!!  AP 開発の一部をしたものの。。。  その他  指紋認証が破られた(テープ)地方空港のセキュリティが甘い理由?  "WordPress (PHP&MySQL のブログツール)" を普及させたい!
  • 7. Web AP 脆弱性の実践 : 簡単なレッスン  本日は 110 番の日ですw 絶対悪用禁止!!  簡単な用語説明  だいたい、以下のキーワードは皆さんご存知でした。  SQL インジェクチョン  注入(injection) が語源。SQL に限ったキーワードではない。  XSS (Cross Site Scripting)  動作原理 : 入力データがエスケープされないまま HTML 中に出力され、 タグ文字などが HTML と解釈されスクリプトとして起動される。  OS コマンドインジェクション  OS のコマンドが注入される 。  やられサーバ  LAMP Appliance Linux をベースに。  Apache + Perl + MySQL の掲示板サイト
  • 8. Web AP 脆弱性の実践 : ステージ 1  Web 掲示板の改ざんに挑戦  http://hostname.domain/~user/board/board.cgi  ユーザとパスワードを提示  やられ環境は Packet Black Hole で監視w  OS コマンドインジェクション  開始 20 分でヒントを出す。  メールアドレス欄  入力値「’| echo」  初の改ざんはヒント提示後 5 分で。  1 番の人より、解説。  「Linux 環境」「OS コマンド」が鍵  「user@domain;echo abc > index.html」  sendmail コマンドの入力値チェックが甘い。  OSインジェクションが可能 -> cgi のソースが見えてしまう。
  • 9. Web AP 脆弱性の実践 : ステージ 2  環境準備してる最中にも、ステージ 1 の攻撃が続々w  ステージ 1 で使ったものと違う、ID とパスワードでログ インしてみよう!  ステージ 1 でゲットした、board.cgi にヒントが。  開始 10 分でヒント提示。  パスワード欄に SQL インジェクション。  「’ (シングルコーテーション)」がポイント。  「abc ‘ or 1=‘1」。  リアルタイムで、SQL が表示されるw  実際に手を動かして体験するイベントもあります  Capture The Flag (CTF) 東京で勉強会やってます!!  次回セキュメロもこれでいきましょう?
  • 10. グループディスカッション発表 #1 発注・管理  「受入検査されてない」「管理できてない」のが一番問題  発注側の問題  「見た目重視」で、その他は後回し、という意識。  スキル面で、具体的な技術は抑えていない。  管理面で、納期の厳しさがセキュリティに気を配る余裕を奪う。  受注側の問題  意識やスキルがピンからキリまでいろいろ。  社会環境的には?  運用方針  「リニューアル」などのイベントを契機として、検査をやるとか。  「チェックポイント」を如何に設けるか。  その他  「サービス寿命」の視点で考える。「建築になぞらえる」  「良い Web AP 検査ツール」があれば売れる!!
  • 12. グループディスカッション発表 #2 開発  コーディングルールで決まる!  規約のセキュリティレベルはどう決める?  専門の部署で判断。メジャーなアイテムは反映する方針で。  検査について  相互チェックができれば良いよね。一人だと余裕が無い  検査ツールを使い、大まかラインを満たせるようにすればよい?  実装  特殊文字をはじく、専用のタグを使う。  正規化に使うモジュールでは、必要 (要件) に応じて穴を開ける。  まとめ?  フレームワーク採用で、ルールに沿えば、(だいたい) 問題はおき ないのでは?  アプリケーションのパッチ間隔が短いけど、がんばって適用する!
  • 13. グループディスカッション発表 #2 開発  QA  Q1. 開発時に見えない問題点はどうフォローする?  A1. 保守メニューに、アプリケーション改版だけでなく、インフラ 面でのフォローも加える!  Q2. パッチ適用に伴うコストはどう考える?  A2. 影響範囲とコスト見合いで、適用可否を決める?
  • 14. グループディスカッション発表 #3 その他  テーマ自体が定まっていない。  メンバーは IT 系、中学生(しかも発表者!)、農業の方!  発表内容は大変しっかりとしたものでした。  ユーザとして信頼できるサイトの決め方  技術レベル、組織の信頼性?  学校で教えてくれない。具体例をだしてみたら?  J-SOX は企業しか対応してない。  人 (スキルレベル) 依存のセキュリティ。  普通 (小規模) の環境では。。。  セキュリティに興味や関心がある。  でも、実態がついてこない。  「普通の人」の意識を上げるには?
  • 15. グループディスカッション発表 #4 運用  メンバの困ったこと  ユーザ (知らない人) に安全に使ってもらう必要がある。  運用と開発が分かれるチーム構成に問題。  中国からきたメンバーは、情報をすべて持ち帰りたがる。  攻撃を知る  「攻撃されたか」判断するには、既存の攻撃を知るしかない。  ログベースでは、事象を後から追うことしかできない。  防ぐには  攻撃が無いから被害 (見える効果) がない。  卵が先か、鶏が先か。  費用対効果が説明できない。  パッチ (更新プログラム) を当てる (適用する) 頻度  「出たら当てる」「当ててから考える」の方針とすべきでは?  パッチの要否をどう判断するの?
  • 16. グループディスカッション発表 #4 運用  システムのバージョンアップ  運用している以上、上げる必要はあるが。  離れたバージョンのアップグレードに悩む  例えば、Windows 2000 Server から Windows Server 2008  情報の収集  情報の樹海から、どう信頼に足るものを選び出すのか。  「セキュリティホール memo」が著名だけど、盲信するものでは ない。  製品の更新情報は?  Windows は情報提供されているが、OSS の場合は?  有償サポートを提供する企業はあるけど、小規模のところでは契約 し辛い。  結局、サイバーノーガード戦法?
  • 17. グループディスカッション発表 #4 運用  まとめ  言語の壁は辛い。英語や中国語。  情報収集を行おう、情報を共有しよう。  仮想環境を有効に (テストに) 使おう!!  VMware ESXi Server や Hyper-V など、無償で提供されているし。  QA  Windows Update, Linux の yum にある自動アップデートは?  実際にサーバ環境を自動アップデートにしているところがあるが、 これまで問題が起きたことがない!!!
  • 18. 最後に  会場をご用意いただいた、ひょうご情報教育機構(CMU 日 本校) の皆さん、いつも感謝しています。  スピーカのまっちゃだいふくさん、本当にありがとうござ います。  そして、参加された皆さんありがとうございます!!