Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開

9.285 Aufrufe

Veröffentlicht am

「オワスプデイ in TOKYO 2016 Spring!!」の発表資料です。

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開

  1. 1. OWASP Testing Guide からはじめよう セキュリティ診断技術の共有、そして横展開
  2. 2. セキュリティテストの技術共有を 目的としたコミュニティをつくりたい
  3. 3. nishimunea (cv: Muneaki Nishimura) Weekend Bug Hunter Lecturer of Security Camp 2014-2015
  4. 4. きっかけは転職 攻撃する側 防御する側
  5. 5. 攻撃する側 防御する側 一つでも穴を見つければ勝ち 全ての攻撃を防がなければ負け : :
  6. 6. 体系的なセキュリティテストの 技術を身につけたい 診断士やバグハンターが集い 共に学ぶ場があると良いのでは!
  7. 7. 情報共有スペースを作りました https://sec-testing.slack.com
  8. 8. 登録はこちら(Slackin)から http://csrf.jp:3000
  9. 9. 熟練者だけでなく初心者も集える場に (マサカリ禁止)
  10. 10. • このツールを使うと便利ですよ • うちの会社ではこういったテストをやってますよ • この脆弱性の攻撃コードって公開されてますか? 例えばこんな会話がしたい
  11. 11. ゆくゆくはこんな会話がしたい
  12. 12. LIMIT 1 UNION ALL SELECT User, Password FROM mysql.user; 診断で困ってます。MySQLの複数行クエリ無効時に 以下のLIMIT句でSQLインジェクションは可能ですか? SELECT title, content FROM posts ORDER BY date DESC LIMIT $INJECTION; それなら、普通に UNION が使えませんか?
  13. 13. それが、直前に ORDER BY があるので UNION は使えないんです。 LIMIT 1 PROCEDURE ANALYZE (ExtractValue(1,concat(0x2c,user())),1) ; だったら、PROCEDURE ANALYZEはどうでしょう? で、できました!ありがとうございます!
  14. 14. 例えば OWASP Testing Guide を読んで わからないことを質問してみよう
  15. 15. 99の技術領域をカバーしたテストガイド (しかも無料)
  16. 16. • 情報収集 • 入力値検証 • コンフィグとデプロイの管理 • エラーハンドリング • ID管理 • 弱い暗号 • 認証 • ビジネスロジック • 認可 • クライアントテスト • セッション管理
  17. 17. • information-gathering • injection-general • config-and-deploy • error-handling • identity-management • crypto • authentication • business-logic • authorization • new-features • session-management • etc. Slack の Channel は OWASP Testing Guide v4 の目次に対応
  18. 18. 2014年9月リリース 古い記述や足りないテストケースもある
  19. 19. アップデートの予定はないのか リーダーの Andrew Muller に聞いてみた
  20. 20. で、キミは何をコントリビュートできんの? 今年は2年に1度のアップデートの年!
  21. 21. • コミュニティで共有されたテスト情報は OWASP Testing Project にフィードバック • 次版のガイドに Reviewer として 名前が載るといいね!
  22. 22. 登録はこちら(Slackin)から http://csrf.jp:3000

×