継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
-
Upload
ichikaway -
Category
Technology
-
view
4.983 -
download
0
Transcript of 継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテスト
2015/2/19 VAddy Meetup1
株式会社ビットフォレスト 市川
Copyright (c) Bitforest Co., Ltd.
自己紹介
2
• IPA好き 市川
• @cakephper / @ichikaway
• 福岡在住(PHPカンファレンス福岡)
Copyright (c) Bitforest Co., Ltd.
3
Webエンジニアは
セキュリティを意識した 開発をすべき!
Copyright (c) Bitforest Co., Ltd.
4
本音 セキュリティのこと考えたくない!
Copyright (c) Bitforest Co., Ltd.
5
本音2
ライブラリ、 フレームワークで なんとかして!
Copyright (c) Bitforest Co., Ltd.
6
現実 やられたニュースをよく聞く 自分は大丈夫だろうか?
Copyright (c) Bitforest Co., Ltd.
7
現実 広範囲のスキャンが来て 凡ミスがあると・・・
Copyright (c) Bitforest Co., Ltd.
8
脆弱性もバグ だからテストしよう!
Copyright (c) Bitforest Co., Ltd.
セキュリティテスト
• 脆弱性診断サービス
• セキュリティテストツール
• App Scan • OWASP ZAP • VAddy
9
Copyright (c) Bitforest Co., Ltd.
OWASP ZAP
10
Copyright (c) Bitforest Co., Ltd.
11
ユニットテストと同じく 開発初期から リリース後まで
Copyright (c) Bitforest Co., Ltd.
12
継続的な セキュリティテスト
が必要
Copyright (c) Bitforest Co., Ltd.
世界の流れ
• Google • GTAC 2013: Finding XSS at Google Scale • 社内で独自ツールを使ってチャレンジ中
• https://www.youtube.com/watch?v=rd5TZKRg-‐lc
13
Copyright (c) Bitforest Co., Ltd.
世界の流れ• カーネギーメロン大学ソフトウェア工学部
• http://blog.sei.cmu.edu/post.cfm/security-‐continuous-‐integration-‐338
14
Copyright (c) Bitforest Co., Ltd.
継続的Webセキュリティテストの課題
• 既存のツールを使う場合
• CIのフローに乗せるのが大変
• 設定項目が多くノウハウを貯める必要
15
Copyright (c) Bitforest Co., Ltd.
重要ポイント
16
Webアプリケーションの動作を
検査ツールが把握して
検査できなければ
まったく意味がない
Copyright (c) Bitforest Co., Ltd.
17
なんか・・面倒そう
本音
Copyright (c) Bitforest Co., Ltd.
本音
18
ビジネスに関わる開発に
注力したいのに・・
Copyright (c) Bitforest Co., Ltd.
19
簡単に導入 運用が不要効果的な検査
CIサイクルに組込み
Copyright (c) Bitforest Co., Ltd.
20
継続的Webセキュリティテストサービス
Vulnerability Assessment is your Buddy (脆弱性診断はあなたの相棒)
Copyright (c) Bitforest Co., Ltd.
21
継続的Webセキュリティテストサービス
http://vaddy.net
Copyright (c) Bitforest Co., Ltd.
VAddyの特徴
• インストール不要(SaaS)
• 無料
• CI連携可能
• WebAPI提供
• Jenkinsプラグイン
• Travis, CircleCI, etc 連携可能
22
Copyright (c) Bitforest Co., Ltd.
よくある構成
23
Copyright (c) Bitforest Co., Ltd.
VAddyの特徴
24
特別な設定なしでVAddyがアプリケーションの動作を理解して
正確に検査できるように
Copyright (c) Bitforest Co., Ltd.
VAddyのポリシー
25
開発者が
開発に注力できるように!
Copyright (c) Bitforest Co., Ltd.
VAddyの特徴
26
機械学習を使った
セキュリティ検査の
エンジンを独自開発
Copyright (c) Bitforest Co., Ltd.
VAddy DEMO
27
Copyright (c) Bitforest Co., Ltd.
脆弱性の種類、問題のパラメータ名
28
Copyright (c) Bitforest Co., Ltd.
再現用の攻撃リクエスト
29
Copyright (c) Bitforest Co., Ltd.
30
まずは VAddyやOWASP ZAP
を使って評価 小さく初めてみる
Copyright (c) Bitforest Co., Ltd.
31
継続的な セキュリティテストが 今後のトレンドになる
Copyright (c) Bitforest Co., Ltd.
VAddyの現状(2015/5 現在)
• 無料プランのみ提供中
• 何度でもスキャン実行可能
• SQLインジェクション、XSS
• Jenkinsプラグイン提供中
• Rubyクライアント提供中
• CircleCI, TravisCI, Codeshipなどに対応
32
Copyright (c) Bitforest Co., Ltd.
現状、可能な検査(SQLi, XSS)• GET/POST/PUT/DELETEのパラメータの検査
• RestAPI対応、パラメータがJSON対応
• URLパスのパラメータ検査
• www.example.com/item/view/1 • フォーム認証(ログイン画面)
• CSRF対策トークン(Angular.jsも含め)
• SSL上のアプリケーション33
Copyright (c) Bitforest Co., Ltd.
34
http://vaddy.net
ご清聴ありがとう ございました