Soumettre la recherche
Mettre en ligne
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
•
Télécharger en tant que PPTX, PDF
•
43 j'aime
•
19,247 vues
Sen Ueno
Suivre
Signaler
Partager
Signaler
Partager
1 sur 44
Télécharger maintenant
Recommandé
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
[BurpSuiteJapan]HTTP基礎入門
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
Recommandé
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
[BurpSuiteJapan]HTTP基礎入門
[BurpSuiteJapan]HTTP基礎入門
Burp Suite Japan User Group
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
アジャイルジャーニー
アジャイルジャーニー
toshihiro ichitani
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
えっ今日はハッキングしてもいいのか?(CTF Web入門)
えっ今日はハッキングしてもいいのか?(CTF Web入門)
otya mura
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
NTT DATA Technology & Innovation
Amazon SageMakerでカスタムコンテナを使った学習
Amazon SageMakerでカスタムコンテナを使った学習
西岡 賢一郎
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
AWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
Intuneによるパッチ管理
Intuneによるパッチ管理
Suguru Kunii
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
TAKUYA OHTA
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発
Arata Fujimura
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
ssuser070fa9
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
Daisuke Ikeda
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
UEHARA, Tetsutaro
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
Contenu connexe
Tendances
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
アジャイルジャーニー
アジャイルジャーニー
toshihiro ichitani
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
えっ今日はハッキングしてもいいのか?(CTF Web入門)
えっ今日はハッキングしてもいいのか?(CTF Web入門)
otya mura
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
junk_coken
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
NTT DATA Technology & Innovation
Amazon SageMakerでカスタムコンテナを使った学習
Amazon SageMakerでカスタムコンテナを使った学習
西岡 賢一郎
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
Isaac Mathis
AWS WAF を活用しよう
AWS WAF を活用しよう
Yuto Ichikawa
Intuneによるパッチ管理
Intuneによるパッチ管理
Suguru Kunii
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
TAKUYA OHTA
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発
Arata Fujimura
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
ssuser070fa9
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
Daisuke Ikeda
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
Tendances
(20)
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
アジャイルジャーニー
アジャイルジャーニー
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
えっ今日はハッキングしてもいいのか?(CTF Web入門)
えっ今日はハッキングしてもいいのか?(CTF Web入門)
ctfで学ぼうリバースエンジニアリング
ctfで学ぼうリバースエンジニアリング
バグハンターの哀しみ
バグハンターの哀しみ
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
大量のデータ処理や分析に使えるOSS Apache Spark入門 - Open Source Conference2020 Online/Fukuoka...
Amazon SageMakerでカスタムコンテナを使った学習
Amazon SageMakerでカスタムコンテナを使った学習
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
PWNの超入門 大和セキュリティ神戸 2018-03-25
PWNの超入門 大和セキュリティ神戸 2018-03-25
AWS WAF を活用しよう
AWS WAF を活用しよう
Intuneによるパッチ管理
Intuneによるパッチ管理
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
IT エンジニアのための 流し読み Windows 10 - Microsoft の更新プログラム管理インフラ比較 ~ WU / WSUS / SCCM ...
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
プラクティス厨から始めるアジャイル開発
プラクティス厨から始めるアジャイル開発
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AngularとSpring Bootで作るSPA + RESTful Web Serviceアプリケーション
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
AIOpsで実現する効率化 OSC 2022 Online Spring TIS
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
En vedette
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
UEHARA, Tetsutaro
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
takesako
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Akitsugu Ito
Metasploitでペネトレーションテスト
Metasploitでペネトレーションテスト
super_a1ice
[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法
LINE Corporation
初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明
Ken SASAKI
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
Ierae Security
[BurpSuiteJapan]Burp Suite回答編
[BurpSuiteJapan]Burp Suite回答編
Burp Suite Japan User Group
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
CpawCTF 勉強会 Network
CpawCTF 勉強会 Network
Takaaki Hoyo
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
shigeki_ohtsu
離れた場所でも最高のチームワークを実現する方法 ーサイボウズ開発チームのリモートワーク事例ー
離れた場所でも最高のチームワークを実現する方法 ーサイボウズ開発チームのリモートワーク事例ー
Teppei Sato
Atlassian Summit US 2017 #augj
Atlassian Summit US 2017 #augj
グロースエクスパートナーズ株式会社/Growth xPartners Incorporated.
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Yusuke Amano
En vedette
(15)
Ipsj77フォレンジック研究動向
Ipsj77フォレンジック研究動向
SECCON CTF セキュリティ競技会コンテスト開催について
SECCON CTF セキュリティ競技会コンテスト開催について
Management for Security Life Cycle (日本語版)
Management for Security Life Cycle (日本語版)
Metasploitでペネトレーションテスト
Metasploitでペネトレーションテスト
[CEDEC2017] LINEゲームのセキュリティ診断手法
[CEDEC2017] LINEゲームのセキュリティ診断手法
初心者向けインターネットの仕組みと8/25の障害についての説明
初心者向けインターネットの仕組みと8/25の障害についての説明
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
[BurpSuiteJapan]Burp Suite回答編
[BurpSuiteJapan]Burp Suite回答編
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
[AVTOKYO 2017] What is red team?
[AVTOKYO 2017] What is red team?
CpawCTF 勉強会 Network
CpawCTF 勉強会 Network
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
離れた場所でも最高のチームワークを実現する方法 ーサイボウズ開発チームのリモートワーク事例ー
離れた場所でも最高のチームワークを実現する方法 ーサイボウズ開発チームのリモートワーク事例ー
Atlassian Summit US 2017 #augj
Atlassian Summit US 2017 #augj
あなたの開発チームには、チームワークがあふれていますか?
あなたの開発チームには、チームワークがあふれていますか?
Similaire à 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
Programming camp 共通科目オープンソース
Programming camp 共通科目オープンソース
Hiro Yoshioka
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
20190622講演資料_こどもの安全なインターネット利用
20190622講演資料_こどもの安全なインターネット利用
KentaNishino
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
Isaac Mathis
35歳限界説は迷信か!?『エンジニア採用』に年齢は関係ありますか?(@type エンジニア適職フェア)
35歳限界説は迷信か!?『エンジニア採用』に年齢は関係ありますか?(@type エンジニア適職フェア)
さくらインターネット株式会社
さくらの学校支援プロジェクトのご紹介&石狩市での実践事例
さくらの学校支援プロジェクトのご紹介&石狩市での実践事例
Asakura Megumi
20160310_10_株式会社アドダイス
20160310_10_株式会社アドダイス
IoTビジネス共創ラボ
SoftLayer上でやってみた 高速ファイル転送(Aspera)
SoftLayer上でやってみた 高速ファイル転送(Aspera)
nicesese
ICO超入門 〜構造・技術・実務〜 早稲田大学稲門会講演
ICO超入門 〜構造・技術・実務〜 早稲田大学稲門会講演
TECHFUND
20161206_Softlayer_Bluemix_woman_meetup
20161206_Softlayer_Bluemix_woman_meetup
SORACOM,INC
LIXIL ACCEKERATOR 事前セミナー | IoTプラットフォーム SORACOM
LIXIL ACCEKERATOR 事前セミナー | IoTプラットフォーム SORACOM
SORACOM,INC
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
グローバルセキュリティエキスパート株式会社(GSX)
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
凄いWordPress2018 contents.nagoya
凄いWordPress2018 contents.nagoya
takashi ono
20190411スマホの買い方と活用
20190411スマホの買い方と活用
KentaNishino
20190322プログラミング今日いつ説明会
20190322プログラミング今日いつ説明会
KentaNishino
「業務システムにモバイルを!実践エンタープライズモバイル開発プロジェクト」
「業務システムにモバイルを!実践エンタープライズモバイル開発プロジェクト」
Embarcadero Technologies
Apple bu20100721
Apple bu20100721
Yutaka Fujisaki
「プログラマのためのビジネス数学入門」第5回プログラマのための数学勉強会LT
「プログラマのためのビジネス数学入門」第5回プログラマのための数学勉強会LT
Toshikatsu Masui
Similaire à 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
(20)
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Programming camp 共通科目オープンソース
Programming camp 共通科目オープンソース
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
20190622講演資料_こどもの安全なインターネット利用
20190622講演資料_こどもの安全なインターネット利用
近年急増のサイバー攻撃の傾向(2018/5)
近年急増のサイバー攻撃の傾向(2018/5)
35歳限界説は迷信か!?『エンジニア採用』に年齢は関係ありますか?(@type エンジニア適職フェア)
35歳限界説は迷信か!?『エンジニア採用』に年齢は関係ありますか?(@type エンジニア適職フェア)
さくらの学校支援プロジェクトのご紹介&石狩市での実践事例
さくらの学校支援プロジェクトのご紹介&石狩市での実践事例
20160310_10_株式会社アドダイス
20160310_10_株式会社アドダイス
SoftLayer上でやってみた 高速ファイル転送(Aspera)
SoftLayer上でやってみた 高速ファイル転送(Aspera)
ICO超入門 〜構造・技術・実務〜 早稲田大学稲門会講演
ICO超入門 〜構造・技術・実務〜 早稲田大学稲門会講演
20161206_Softlayer_Bluemix_woman_meetup
20161206_Softlayer_Bluemix_woman_meetup
LIXIL ACCEKERATOR 事前セミナー | IoTプラットフォーム SORACOM
LIXIL ACCEKERATOR 事前セミナー | IoTプラットフォーム SORACOM
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
EC-Councilセキュリティエンジニア養成講座 認定ネットワークディフェンダーcnd[certified network defender]のご紹介[...
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
凄いWordPress2018 contents.nagoya
凄いWordPress2018 contents.nagoya
20190411スマホの買い方と活用
20190411スマホの買い方と活用
20190322プログラミング今日いつ説明会
20190322プログラミング今日いつ説明会
「業務システムにモバイルを!実践エンタープライズモバイル開発プロジェクト」
「業務システムにモバイルを!実践エンタープライズモバイル開発プロジェクト」
Apple bu20100721
Apple bu20100721
「プログラマのためのビジネス数学入門」第5回プログラマのための数学勉強会LT
「プログラマのためのビジネス数学入門」第5回プログラマのための数学勉強会LT
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
1.
19-E-3 上野 宣
株式会社トライコーダ 代表取締役 自分でできるWebアプリケーション脆弱性診断
2.
プロフィール 上野 宣(うえの・せん)
京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻 EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立 株式会社トライコーダ 代表取締役 情報セキュリティ教育 ネットワークシステム/Webアプリケーション脆弱性診断 http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員 セキュリティ&プログラミングキャンプ講師 情報セキュリティ専門誌 ScanNetSecurity編集長 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 2 sen_u
3.
著書、連載など 今夜わかるTCP/IP 今夜わかるHTTP
今夜わかるメールプロトコル SMTP/POP3/IMAP4 ネットでライフハック―仕事をらくらく片付ける超便利!ウェブツール 平成22年度情報セキュリティスペシャリスト 試験によくでる午前・午後問題集、 ハッカーになるための必読書103選 アクセス探偵IHARA―エンターテイメント情報セキュリティコミック 実践企業情報ネットワークの保護管理 セキュリティの意識を具現化するためのガイドライン @IT、HackerJapanなどで連載中 著書、連載、その他多数 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 3
4.
Webアプリケーション脆弱性診断とは Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 4
5.
脆弱性診断とは 脆弱性診断 対象となるWebアプリケーションに対して、攻撃者視点からセキュリティ上の問題を発見し報告
セキュリティテスト ペネトレーションテストとの違い さまざまな手を尽くして管理者権限を奪いに行くのがペネトレーションテスト 脆弱性診断はテストケースに基づくテスト どちらも多くは専門業者に委託している もしくは脆弱性スキャナーによる診断 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 5
6.
自分(自社)でできない理由 テスト方法がわからない テスト仕様書を作れない
どこを診断して良いかわからない 脆弱性判定の基準が判らない 診断結果報告書の書き方が判らない 自社の診断を信用してもらえない Copyright©2010 Tricorder Co.Ltd. All rights reserved. 6
7.
診断の基準 どのようなテストをすればよいか? Copyright©2010
Tricorder Co.Ltd. All rights reserved. 7
8.
LASDEC『ウェブ健康診断』の診断仕様を活用 財団法人地方自治情報センター( LASDEC
) 地方公共団体の情報セキュリティ対策などを支援 ウェブ健康診断 精密検査ではなく定期健康診断 定型化されているため低価格での実施が可能 診断仕様が公開されている 診断仕様は有識者が検討し定めたもの 企業などがそのまま採用しても申し分のない内容 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 8 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
9.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 9 http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
10.
診断仕様の内容 診断対象脆弱性(診断項目) 危険度基準
総合判定基準 診断時に利用する診断項目毎の検出パターン(目安) 脆弱性有無の判定基準 診断対象画面(機能)とその定義 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 10
11.
診断項目 SQLインジェクション クロスサイトスクリプティング(XSS)
クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション ディレクトリ・リスティング メールヘッダインジェクション パストラバーサル 意図しないリダイレクト HTTPヘッダインジェクション 認証 セッション管理の不備 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 11 選定理由:危険性が高く、検出数が多く 最近問題となるケースが多いもの
12.
危険度の判定 Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 12
13.
危険度 危険度:高 被害者ユーザの関与がなくても攻撃者が直接アプリケーションに対して攻撃可能である能動的な脆弱性。
攻撃を受けると、大量の情報漏洩や改ざんの被害を生じる可能性がある。 危険度:中 攻撃成功には被害者ユーザの関与(攻撃者の罠のリンクをクリックする等)が必要である受動的な脆弱性。 もしくは、能動的な脆弱性であっても大量の情報漏洩や改竄にはつながりにくいもの。 危険度:低 攻撃成功の確率が低い、もしくは攻撃が成功しても被害が軽微であると考えられる脆弱性。ただし被害に遭う可能性はゼロではない。 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 13
14.
総合判定基準 要治療・精密検査 危険度が「高」「中」の脆弱性を検出
差し支えない 危険度が「低」の脆弱性のみ発見 異常は発見されなかった 今回の診断で脆弱性が発見されなかった ただし、診断方法が限定されているので「安全である」ことと同義ではない Copyright©2010 Tricorder Co.Ltd. All rights reserved. 14
15.
診断に利用する検出パターンと利用基準 ウェブ健康診断の仕様書には脆弱性ごとに診断方法が記載されている 検出パターン
脆弱性有無の判定基準 備考 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 15
16.
SQLインジェクション 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 16
17.
クロスサイト・スクリプティング(XSS) 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 17
18.
ディレクトリ・リスティング 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 18
19.
認証 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 19
20.
セッション管理の不備 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 20
21.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 21
22.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 22
23.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 23
24.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 24
25.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 25
26.
診断の実施 Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 26
27.
診断手順 診断対象リストの作成 仕様に沿って診断開始
レポート作成 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 27
28.
診断対象リストの作成 全画面の診断ではない 診断対象となる画面(機能)を限定
最低限実施する診断項目を設定 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 28
29.
診断対象画面 ログイン ログアウト
DBアクセス 入力内容確認 エラー ファイル名 Cookie発行 リダイレクト パスワード変更 DB更新 メール送信 アクセス制御あり Copyright©2010 Tricorder Co.Ltd. All rights reserved. 29
30.
最低限実施する診断項目(1) Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 30
31.
最低限実施する診断項目(2) Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 31
32.
仕様に沿って診断開始 インジェクション系 パラメーターに値を渡してGET/POSTする
SQLインジェクション、クロスサイトスクリプティング(XSS) クロスサイト・リクエスト・フォージェリ(CSRF) OSコマンドインジェクション、メールヘッダインジェクション パストラバーサル、意図しないリダイレクト HTTPヘッダインジェクション それ以外 診断仕様に従って内容を確認したり、値を変更する ディレクトリ・リスティング セッション管理の不備 認証 アクセス制御の不備、欠落 Copyright©2010 Tricorder Co.Ltd. All rights reserved. 32
33.
インジェクション系の診断には補助ツールを使用 ブラウザ単体でも可能だが、インジェクション系は補助ツールを使うと効率がよい hiddenタグやHTTPヘッダーへの入力
繰り返し値を入力するなど Proxy系補助ツールがオススメ Burp Suite http://portswigger.net/suite/ WebScarab http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project Copyright©2010 Tricorder Co.Ltd. All rights reserved. 33
34.
Proxy系補助ツール Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 34 Browser http://........ ショッピングサイト Webサーバー Proxy系補助ツール Webブラウザ
35.
Burp Suite Copyright©2010
Tricorder Co.Ltd. All rights reserved. 35
36.
練習台にはやられWebアプリケーション Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 36 「わざと脆弱性を持たせたWebアプリ」で練習を - @IT http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html
37.
クロスサイト・スクリプティング(XSS) 1 Copyright©2010
Tricorder Co.Ltd. All rights reserved. 37
38.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 38
39.
診断レポートの書き方 Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 39
40.
診断レポートの書き方 Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 40
41.
Webアプリケーション脆弱性診断後の対応 Copyright©2010 Tricorder
Co.Ltd. All rights reserved. 41
42.
安全なWebサイトを作るためには IPA『安全なWebサイトの作り方 改訂第4版』
http://www.ipa.go.jp/security/vuln/websecurity.html 発注者のためのWebシステム/Webアプリケーションセキュリティ要件書 http://www.tricorder.jp/security_requirement.html Copyright©2010 Tricorder Co.Ltd. All rights reserved. 42
43.
Copyright©2010 Tricorder Co.Ltd.
All rights reserved. 43
44.
実践講座もあります セキュリティ人材育成セミナー~ Webアプリケーション診断編
~ 3月29日(月)、30日(火) 主催:サイバーディフェンス研究所http://www.cyberdefense.jp/ Copyright©2010 Tricorder Co.Ltd. All rights reserved. 44
Télécharger maintenant