Suche senden
Hochladen
Webアプリのセキュリティ 20170824
•
Als PPTX, PDF herunterladen
•
3 gefällt mir
•
1,715 views
M
Masakazu Ikeda
Folgen
Vaddy ミートアップ Vol.7
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 20
Jetzt herunterladen
Empfohlen
Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trust
Hiroyuki Komachi
Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩
Tech Summit 2016
Css2013 api distance
Css2013 api distance
Info_SecureBrain
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるid
Tech Summit 2016
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
ComputerScienceCoLtd
Blind sql injection jwmoon
Blind sql injection jwmoon
ted0201
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
de:code 2017
Sec007 条件付きアクセス
Sec007 条件付きアクセス
Tech Summit 2016
Empfohlen
Cloud securiy boot camp for zero trust
Cloud securiy boot camp for zero trust
Hiroyuki Komachi
Sec002 office 365_で実現する一歩
Sec002 office 365_で実現する一歩
Tech Summit 2016
Css2013 api distance
Css2013 api distance
Info_SecureBrain
Sec004 cloud first、_mobile_first_におけるid
Sec004 cloud first、_mobile_first_におけるid
Tech Summit 2016
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
Webアプリケーション脆弱性診断のご紹介_コンピューターサイエンス株式会社
ComputerScienceCoLtd
Blind sql injection jwmoon
Blind sql injection jwmoon
ted0201
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
[SC06] Windows と Azure、2つの Information Protection をディープに解説!
de:code 2017
Sec007 条件付きアクセス
Sec007 条件付きアクセス
Tech Summit 2016
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方で
Tech Summit 2016
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
Tech Summit 2016
RubyでDSL
RubyでDSL
Yukimitsu Izawa
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
Sec009 これがハイブリッ
Sec009 これがハイブリッ
Tech Summit 2016
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
彰 村地
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
Elasticsearch
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)
pinenet
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
Weitere ähnliche Inhalte
Was ist angesagt?
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方で
Tech Summit 2016
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
Tech Summit 2016
RubyでDSL
RubyでDSL
Yukimitsu Izawa
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
Muneaki Nishimura
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
Sen Ueno
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
TokujiAkamine
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
彰 村地
Privacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
Masahiro NAKAYAMA
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
Sec009 これがハイブリッ
Sec009 これがハイブリッ
Tech Summit 2016
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
彰 村地
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
Elasticsearch
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)
pinenet
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
Was ist angesagt?
(20)
Sec001 その office_365_の使い方で
Sec001 その office_365_の使い方で
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sec008 azure ad_でクラウドの認
Sec008 azure ad_でクラウドの認
RubyでDSL
RubyでDSL
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Webプラットフォームのセキュリティ
Webプラットフォームのセキュリティ
第32回Websig会議「クラウドは○○を共有するサービス」
第32回Websig会議「クラウドは○○を共有するサービス」
モバイルアプリケーションセキュリティ101
モバイルアプリケーションセキュリティ101
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
Privacy by Design with OWASP
Privacy by Design with OWASP
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
Sec009 これがハイブリッ
Sec009 これがハイブリッ
System Resource Utilization Monitor を知ろう
System Resource Utilization Monitor を知ろう
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
Webアプリのセキュリティ対策入門(仮)
Webアプリのセキュリティ対策入門(仮)
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
Ähnlich wie Webアプリのセキュリティ 20170824
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
Hayato Kiriyama
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Microsoft Tech Summit 2017
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオン
Yuichi Hattori
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
20180224 azure securitycenter
20180224 azure securitycenter
Masakazu Kishima
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
Riotaro OKADA
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
de:code 2017
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
EiichiMuraoka2
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)
Osamu Monoe
Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係
Kazuyuki Miyake
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
Kspin20121201 kobayashi
Kspin20121201 kobayashi
Osamu Kobayashi
Ähnlich wie Webアプリのセキュリティ 20170824
(20)
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオン
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
20180224 azure securitycenter
20180224 azure securitycenter
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
[SC09] パッチ待ちはもう古い!Windows 10 最新セキュリティ技術とゼロデイ攻撃攻防の実例
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
20220710_[JPN]Japan_Forward_KeynoteDeck.pptx.pdf
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Microsoft Azure 概要 (2015 年 4 月版)
Microsoft Azure 概要 (2015 年 4 月版)
Azure Cosmos DB + App Serviceの良い関係
Azure Cosmos DB + App Serviceの良い関係
The Shift Left Path and OWASP
The Shift Left Path and OWASP
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Kspin20121201 kobayashi
Kspin20121201 kobayashi
Webアプリのセキュリティ 20170824
1.
2017.8.24 ikepyon WEBアプリのセキュリティは 何から手を付ければいいのか ?(仮)
2.
本日の話 2 開発 運用 開発
運用 開発 要件定義 設計 コーディ ング テスト フレームワーク、ライブラリなどのバージョン管理
3.
開発工程のコーディングまでにアプリ特有の脆弱性は生まれる 要件定義
クレジットカードのセキュリティコードの保存 設計 アクセス権の不備 コーディング SQLインジェクション XSS ディレクトリトラバーサル アプリの脆弱性 3
4.
そもそもアプリの脆弱性とは? 想定外の動作をするバグのうちセキュリティ上の問題を引 き起こすもの 機密性、完全性、可用性を脅かすもの 4
5.
7 0 3 0 56% 11% 3% 15% 2%2%11% クロスサイト・スクリプティング SQLインジェクション ディレクトリ・トラバーサル DNS情報の設定不備 ファイルの誤った公開 HTTPSの不適切な利用 その他 6 5 3 5 38% 12%7%4%4% 10% 7% 4%3%11% 任意のスクリプト実行 任意のコマンドの実行 任意のコードの実行 任意のファイルへのアクセス データベースの不正操作 情報の漏洩 なりすまし サービス不能 アクセス制限の回避 その他 コーディングバグ どんな脆弱性が多いのか? 届出累計の脆弱性がもたらす影響別割合
Webサイトの届出累計の脆弱性の種類別割合 5 IPA ソフトウェア等の脆弱性関連情報に関する届出状況[2017 年第 2 四半期(4 月~6 月)]より引用 コーディングバグ
6.
WEBアプリの脆弱性 コーディングバグによる脆弱性が最も多い 全体の約7割
脆弱性を減らすにはまずコーディング時点での脆弱性を減 らすことが効果的 6
7.
アプリのセキュリティ対策の難しさ 一定レベル以上の安全性をすべてのコ ードで保つ必要がある 致命的なバグがコードになければよ い
安全なコードを書くこと自体は難し くない コーディングバグによる脆弱性の 少ない安全なコードを書くには特 別な知識は不要 7
8.
コーディングでの脆弱性を減らすには? 安全なコーディング方法の教育 セキュリティコードレビュー
動的な脆弱性診断 8
9.
安全なコーディング方法の教育 メリット 脆弱性のあるコードを書きにくくなる
発見された脆弱性を直せる デメリット 即効性がない ケアレスミスによる脆弱性を防げない 既に存在するコード、フレームワークなどの脆弱性を対応す ることは難しい 9
10.
セキュリティコードレビュー メリット コーディングが終われば脆弱性を発見、直すことができるため、 手戻りが少ない 脆弱性のあるコードをピンポイントで発見できる 網羅的に脆弱性を発見できる デメリット 実施するにはセキュリティの知識、コードを読む能力が必要 コードレビューを実施するには工数がかかる 発見した脆弱性が実際に攻撃に利用できるとは限らない コードレビューを実施していない場合開発フローを変える必要が ある 10
11.
動的な脆弱性診断 メリット 攻撃可能な脆弱性を発見できる
開発フローに導入しやすい デメリット セキュリティの知識が必要 開発の終盤に実施するため、脆弱性が発見された場合の手戻 りが大きい コードの修正箇所が具体的にわからない 11
12.
安全なアプリを作るには何からやれば? 1. 教育は必須 これを実施しないと脆弱性の直し方もわからない
場当たり的な対策となり、完全に修正できないことも 2. 動的な脆弱性診断は最も手軽に開発フローに入れられる 結合テストで実施することを考慮するとよい すべての脆弱性を発見できないことに注意 3. セキュリティコードレビューは可能なら実施 開発者の技術レベルが不十分だと確認すべき点が多く、工数 が大幅にかかる 12
13.
安全なアプリを作るには?(教育編) コーディングの基礎をしっかり学び、実践する 適切なバリデーション、適切なエスケープ
なるべく単純化 仕様に問題がなければ、仕様どおりにしか動かないコード を書けばよい 仕様通りにバリデーションを行い、外部への出力を行う 際、適切なエスケープを行うことで脆弱性を減らせる 13
14.
安全なアプリを作るには?(教育編) セキュアコーディングは多くの場合にセキュリティを意識 しなくても脆弱性の少ないコードを書くための方法 セキュアコーディングで常に脆弱性をなくせるものでは ない
フレームワーク、ライブラリには安全なアプリを作るため の機能が存在するので、うまく活用する 14
15.
安全なアプリを作るには?(脆弱性診断編) 診断パターンは脆弱性診断士ガイドラインが使用できる https://www.owasp.org/index.php/Pentester_Skillmap_Projec t_JP 全機能を網羅的に診断を実施する
脆弱性診断を実施していない箇所に脆弱性がある場合も ある 15
16.
安全なアプリを作るには?(脆弱性診断編) 簡単に発見できる(自動化ツールで発見できる)脆弱性を発見 、修正する 発見することが難しい脆弱性は攻撃者も発見しづらい
発見しづらい脆弱性を見つけることに時間をかけるより、網 羅的に簡単に発見できる脆弱性がないことを確認することが 重要 網羅的に手動で診断を行うことは結構大変なので、自動化ツー ルを活用する 自動化ツールを使用する場合、設定が重要 16
17.
安全なアプリを作るには?(脆弱性診断編) 脆弱性として使用できなくても脆弱性っぽいものを発見する ことは難しくない 「’」「<」などを全てのパラメーター、Cookieに入れてみ る
単体テスト、結合テストのテストデータにこれらを含む データを入れてテストすることがいいかも? おかしな動作をするところを修正するだけでも大幅に脆弱 性を減らすことができる 17
18.
安全なアプリを作るには?(コーディングレビュー編) 入力(ソース)から脆弱性を引き起こす出力(シンク)ま でのデータフローを追う シンクに問題を起こすデータが渡されるかを確認する シンクの例
SQLを引数とするメソッド・関数 レスポンスに出力するメソッド・関数 など 18
19.
安全なアプリを作るには?(コーディングレビュー編) ソースコード診断ツールもあるので利用することも検討? 脆弱性が検出されすぎるので精査が重要
開発者の技術レベルが高いと検出される脆弱性のほとんど は脆弱性ではない 開発者の技術レベルが低いと検出される脆弱性が多すぎ、 精査の工数がかかりすぎる フレームワークを使用していると脆弱性が検出できない場合 もある 19
20.
まとめ 何はともあれ教育を実施する 次に導入しやすい動的な脆弱性診断を実施する
テストデータをちょっと変えて、「O'reilly」や「Tully's」 にするだけでSQLインジェクションが見つかるかも? 脆弱性の少ないコードが書けるようになったら、工数削減 のためにコードレビューを実施する 20
Jetzt herunterladen