Suche senden
Hochladen
Intern2015 02
•
0 gefällt mir
•
10,284 views
LINE Corporation
Folgen
LINE 2015 エンジニアインターン
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 20
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
『プロフェッショナルSSL/TLS』読書会5章
『プロフェッショナルSSL/TLS』読書会5章
MITSUNARI Shigeo
ISUCON夏期講習2015_1 概要編
ISUCON夏期講習2015_1 概要編
SATOSHI TAGOMORI
Intern2015 03
Intern2015 03
LINE Corporation
ISUCON夏期講習2015_2 実践編
ISUCON夏期講習2015_2 実践編
SATOSHI TAGOMORI
Intern2015 01
Intern2015 01
LINE Corporation
オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)
Fusion Reactor LLC
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Kengo Suzuki
Empfohlen
『プロフェッショナルSSL/TLS』読書会5章
『プロフェッショナルSSL/TLS』読書会5章
MITSUNARI Shigeo
ISUCON夏期講習2015_1 概要編
ISUCON夏期講習2015_1 概要編
SATOSHI TAGOMORI
Intern2015 03
Intern2015 03
LINE Corporation
ISUCON夏期講習2015_2 実践編
ISUCON夏期講習2015_2 実践編
SATOSHI TAGOMORI
Intern2015 01
Intern2015 01
LINE Corporation
オンラインバンキングのセキュリティ技術の動向(完全版)
オンラインバンキングのセキュリティ技術の動向(完全版)
Fusion Reactor LLC
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Kengo Suzuki
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
はなずきん Hana
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
Tatsuo Kudo
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介
shigeya
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
情報セキュリティCAS 第四十九回放送用スライド
情報セキュリティCAS 第四十九回放送用スライド
Kumasan, LLC.
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
株式会社クライム
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル
de:code 2017
KYC and identity on blockchain
KYC and identity on blockchain
mosa siru
Microsoft smart store strategy
Microsoft smart store strategy
Microsoft Azure Japan
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
株式会社クライム
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
株式会社クライム
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
yut148atgmaildotcom
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用
Ruo Ando
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
What's CodeSign
What's CodeSign
Shin Yamamoto
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
NPCA System Scan 2014 @hakatashi 解説スライド
NPCA System Scan 2014 @hakatashi 解説スライド
Takahashi Koki
JJUG CCC 2018 Fall 懇親会LT
JJUG CCC 2018 Fall 懇親会LT
LINE Corporation
Reduce dependency on Rx with Kotlin Coroutines
Reduce dependency on Rx with Kotlin Coroutines
LINE Corporation
Weitere ähnliche Inhalte
Ähnlich wie Intern2015 02
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
はなずきん Hana
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
Tatsuo Kudo
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介
shigeya
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
情報セキュリティCAS 第四十九回放送用スライド
情報セキュリティCAS 第四十九回放送用スライド
Kumasan, LLC.
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
株式会社クライム
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル
de:code 2017
KYC and identity on blockchain
KYC and identity on blockchain
mosa siru
Microsoft smart store strategy
Microsoft smart store strategy
Microsoft Azure Japan
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
株式会社クライム
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
株式会社クライム
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
yut148atgmaildotcom
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
Muneaki Nishimura
情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用
Ruo Ando
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
OpenID Foundation Japan
What's CodeSign
What's CodeSign
Shin Yamamoto
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
KentaEndoh
NPCA System Scan 2014 @hakatashi 解説スライド
NPCA System Scan 2014 @hakatashi 解説スライド
Takahashi Koki
Ähnlich wie Intern2015 02
(20)
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
今更聞けないOAuth2.0
今更聞けないOAuth2.0
知ることから始めるセキュリティ対策
知ることから始めるセキュリティ対策
Cloud Identity Summit 2012 TOI
Cloud Identity Summit 2012 TOI
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
情報セキュリティCAS 第四十九回放送用スライド
情報セキュリティCAS 第四十九回放送用スライド
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
暗号化キー、どこで管理しますか? HyTrust KeyControlで簡単・安心キー管理
[SC14] IoT のセキュリティアーキテクチャと実装モデル
[SC14] IoT のセキュリティアーキテクチャと実装モデル
KYC and identity on blockchain
KYC and identity on blockchain
Microsoft smart store strategy
Microsoft smart store strategy
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
セキュリティ認証も簡単に取得!すぐ出来るセキュリティツール「HyTrust」 ~PCIDSS・GDPRにも対応!~
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
さぁ、はじめよう!安全・簡単、仮想/クラウドマシンの暗号化&鍵管理
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
HPKP Supercookies (公開鍵ピンニングによるユーザ追跡)
情報セキュリティと標準化I 第1回-公開用
情報セキュリティと標準化I 第1回-公開用
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
韓国における FIDO/ eKYC /DID の現状と今後の取り組み - OpenID Summit 2020
What's CodeSign
What's CodeSign
React(TypeScript) + Go + Auth0 で実現する管理画面
React(TypeScript) + Go + Auth0 で実現する管理画面
NPCA System Scan 2014 @hakatashi 解説スライド
NPCA System Scan 2014 @hakatashi 解説スライド
Mehr von LINE Corporation
JJUG CCC 2018 Fall 懇親会LT
JJUG CCC 2018 Fall 懇親会LT
LINE Corporation
Reduce dependency on Rx with Kotlin Coroutines
Reduce dependency on Rx with Kotlin Coroutines
LINE Corporation
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
LINE Corporation
Use Kotlin scripts and Clova SDK to build your Clova extension
Use Kotlin scripts and Clova SDK to build your Clova extension
LINE Corporation
The Magic of LINE 購物 Testing
The Magic of LINE 購物 Testing
LINE Corporation
GA Test Automation
GA Test Automation
LINE Corporation
UI Automation Test with JUnit5
UI Automation Test with JUnit5
LINE Corporation
Feature Detection for UI Testing
Feature Detection for UI Testing
LINE Corporation
LINE 新星計劃介紹與新創團隊分享
LINE 新星計劃介紹與新創團隊分享
LINE Corporation
LINE 技術合作夥伴與應用分享
LINE 技術合作夥伴與應用分享
LINE Corporation
LINE 開發者社群經營與技術推廣
LINE 開發者社群經營與技術推廣
LINE Corporation
日本開發者大會短講分享
日本開發者大會短講分享
LINE Corporation
LINE Chatbot - 活動報名報到設計分享
LINE Chatbot - 活動報名報到設計分享
LINE Corporation
在 LINE 私有雲中使用 Managed Kubernetes
在 LINE 私有雲中使用 Managed Kubernetes
LINE Corporation
LINE TODAY高效率的敏捷測試開發技巧
LINE TODAY高效率的敏捷測試開發技巧
LINE Corporation
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE Corporation
LINE Things - LINE IoT平台新技術分享
LINE Things - LINE IoT平台新技術分享
LINE Corporation
LINE Pay - 一卡通支付新體驗
LINE Pay - 一卡通支付新體驗
LINE Corporation
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Corporation
Keynote - LINE 的技術策略佈局與跨國產品開發
Keynote - LINE 的技術策略佈局與跨國產品開發
LINE Corporation
Mehr von LINE Corporation
(20)
JJUG CCC 2018 Fall 懇親会LT
JJUG CCC 2018 Fall 懇親会LT
Reduce dependency on Rx with Kotlin Coroutines
Reduce dependency on Rx with Kotlin Coroutines
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
Kotlin/NativeでAndroidのNativeメソッドを実装してみた
Use Kotlin scripts and Clova SDK to build your Clova extension
Use Kotlin scripts and Clova SDK to build your Clova extension
The Magic of LINE 購物 Testing
The Magic of LINE 購物 Testing
GA Test Automation
GA Test Automation
UI Automation Test with JUnit5
UI Automation Test with JUnit5
Feature Detection for UI Testing
Feature Detection for UI Testing
LINE 新星計劃介紹與新創團隊分享
LINE 新星計劃介紹與新創團隊分享
LINE 技術合作夥伴與應用分享
LINE 技術合作夥伴與應用分享
LINE 開發者社群經營與技術推廣
LINE 開發者社群經營與技術推廣
日本開發者大會短講分享
日本開發者大會短講分享
LINE Chatbot - 活動報名報到設計分享
LINE Chatbot - 活動報名報到設計分享
在 LINE 私有雲中使用 Managed Kubernetes
在 LINE 私有雲中使用 Managed Kubernetes
LINE TODAY高效率的敏捷測試開發技巧
LINE TODAY高效率的敏捷測試開發技巧
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE 區塊鏈平台及代幣經濟 - LINK Chain及LINK介紹
LINE Things - LINE IoT平台新技術分享
LINE Things - LINE IoT平台新技術分享
LINE Pay - 一卡通支付新體驗
LINE Pay - 一卡通支付新體驗
LINE Platform API Update - 打造一個更好的Chatbot服務
LINE Platform API Update - 打造一個更好的Chatbot服務
Keynote - LINE 的技術策略佈局與跨國產品開發
Keynote - LINE 的技術策略佈局與跨國產品開發
Kürzlich hochgeladen
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
Hiroki Ichikura
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
Kürzlich hochgeladen
(10)
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
【早稲田AI研究会 講義資料】3DスキャンとTextTo3Dのツールを知ろう!(Vol.1)
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
Intern2015 02
1.
➡ カード業界の勉強 ➡ ペネトレーションテスト ➡
CheckoutHelperのバージョンアップ ➡ セキュリティ調査 ➡ インフラ、プロビジョニングツールの整備 ➡ 動作確認 インターンでやったこと
2.
セキュリティ調査 HTTPS+公開鍵暗号化 ➡ ツールによる解析 ➡ Webアプリケーション攻撃テ ストツールのbrakeman、 WebReaverを使用 ➡
いくつかの脆弱性と診断された ものはあったがどれも誤診断で あった
3.
セキュリティ調査 HTTPS+公開鍵暗号化 ➡ 手動による解析 ➡ 己の勘と嗅覚で調査をした ➡
10個ほど懸念点が見つかった ➡ 今回はそのうち1個についてイ ンターン中に担当することと した
4.
CheckoutHelperについて ➡ CheckoutHelperとは? CheckoutHelper ➡ 決済時にユーザーが購入サイトから離れずに カード情報を入力できるようにする JavaScriptライブラリ ➡
カード情報の入力フォームとカード情報の トークン化を担う
5.
セキュリティ調査-安全でないDOMの生成 xxshop.com DOM in xxshop.com jquery.js analytics.js 4242
4242 4242 4242 PAN: 4242 4242 4242 4242 EXPIRE: 08/18 NAME: YAMADA… CVC: 123 analytics.com
6.
セキュリティ調査-安全でないDOMの生成 iframe js.webpay.jp jquery.js analytics.js 4242 4242
4242 4242 xxshop.com
7.
CheckoutHelperのバージョンアップ ➡ インターンではiframe対応をしたCheckoutHelperのv3をリリースする ことを目標に ➡ クレジットカード業界におけるセキュリティ基準のPCI
DSSのバージョ ン3で推奨されているため、移行を予定していた See: http://qiita.com/hokkai7go@github/items/3705120cf73b07570f9e
8.
CheckoutHelperのバージョンアップ ➡ 実はすでに対応のためのブランチがあった ➡ リリースされていなかった理由 ➡
動作確認やセキュリティの調査、新しいサーバの準備が必要 ➡ ここらへんを対応していくことに
9.
セキュリティ調査
10.
本当にあった怖いXSS ?publishableKey= ?publishableKey=<b>test</b> ?publishableKey=</script><script>alert(1)</script> ?publishableKey=test_public_XXXXXXXX JSON.dump ※リリース前のコードの話です
11.
➡ scriptタグ内では、このサニタイズでは十分でない ➡ JSONで出力するのであれば、加えて<>/のエスケープ ➡
https://subtech.g.hatena.ne.jp/mala/20100222/1266843093 本当にあった怖いXSS ?publishableKey=</script><script>alert(1)</script> ➡ そもそもサーバサイドで埋め込む必要なくない? ➡ クライアントサイドでパラメータの取得を行うように
12.
サーバ構築
13.
➡ 現状Ansibleを使ってサーバの構成を管理している プロビジョニングツール ➡ 動作が遅い/もっさり ➡
完了するまでに1時間以上かかる ➡ YAMLによる記述力不足 ➡ ignore_errors: yes, when, when, when.. ➡ テンプレートエンジンがしょぼい ➡ Jinja2使いづらい ➡ エージェントを先にインストールする必要がある ➡ 簡単に実行できない ➡ Chef/Puppet
14.
https://www.flickr.com/photos/dakiny/14652227925/ Itamae ➡ クックパッドの荒井氏(@ryot_a_rai)を中心に 開発しているOSSのプロビジョニングツール ➡ RubyのDSLなので学習コストが低く、柔軟な 記述が可能 ➡
エージェント不要で、軽快に動作する
15.
動作確認
16.
v2(Dynamic DOM) v3(iframe)
17.
最終報告
18.
➡ iframe対応をしたCheckoutHelperのv3をリリースします ➡ 利用中のマーチャントに影響が出ないよう、移行は公式ブログ等で アナウンスをする(記事は書いた) 最終報告 v1 2014/06 v2 2015/08 v3 初版
デザイン変更 モバイル対応 iframe版 NOW しました
19.
最終報告 ➡ まとめた記事は今後 WebPay
Engineering Blog に掲載予定
20.
ご清聴ありがとうございました
Jetzt herunterladen