OWASP Testing Guideからはじめよう

セキュリティ診断技術の共有、そして横展開

セキュリティテストの技術共有を

目的としたコミュニティをつくりたい

nishimunea (cv: Muneaki Nishimura)

Weekend Bug Hunter

Lecturer of Security Camp 2014-2015

きっかけは転職

攻撃する側 防御する側

攻撃する側

防御する側

一つでも穴を見つければ勝ち

全ての攻撃を防がなければ負け

:

:

体系的なセキュリティテストの

技術を身につけたい

診断士やバグハンターが集い

共に学ぶ場があると良いのでは！

情報共有スペースを作りました

https://sec-testing.slack.com

登録はこちら(Slackin)から

http://csrf.jp:3000

熟練者だけでなく初心者も集える場に

（マサカリ禁止）

• このツールを使うと便利ですよ

• うちの会社ではこういったテストをやってますよ

• この脆弱性の攻撃コードって公開されてますか？

例えばこんな会話がしたい

ゆくゆくはこんな会話がしたい

LIMIT 1 UNION ALL SELECT User, Password

FROM mysql.user;

診断で困ってます。MySQLの複数行クエリ無効時に

以下のLIMIT句でSQLインジェクションは可能ですか？

SELECT title, content FROM posts

ORDER BY date DESC

LIMIT $INJECTION;

それなら、普通に UNION が使えませんか？

それが、直前に ORDER BY があるので

UNION は使えないんです。

LIMIT 1 PROCEDURE ANALYZE

(ExtractValue(1,concat(0x2c,user())),1) ;

だったら、PROCEDURE ANALYZEはどうでしょう？

で、できました！ありがとうございます！

例えば OWASP Testing Guide を読んで

わからないことを質問してみよう

99の技術領域をカバーしたテストガイド

（しかも無料）

• 情報収集 • 入力値検証

• コンフィグとデプロイの管理 • エラーハンドリング

• ID管理 • 弱い暗号

• 認証 • ビジネスロジック

• 認可 • クライアントテスト

• セッション管理

• information-gathering • injection-general

• config-and-deploy • error-handling

• identity-management • crypto

• authentication • business-logic

• authorization • new-features

• session-management • etc.

Slack の Channel は

OWASP Testing Guide v4 の目次に対応

2014年9月リリース

古い記述や足りないテストケースもある

アップデートの予定はないのか

リーダーの Andrew Muller に聞いてみた

で、キミは何をコントリビュートできんの？

今年は2年に1度のアップデートの年！

• コミュニティで共有されたテスト情報はOWASP Testing Project にフィードバック

• 次版のガイドに Reviewer として名前が載るといいね！

登録はこちら(Slackin)から

http://csrf.jp:3000