「脆弱性をみつける」から 「脆弱性をなくす」へ セキュリティ・キャンプ 2015 全国大会 チュータープレゼン
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
「脆弱性をみつける」から「脆弱性をなくす」へ
セキュリティ・キャンプ 2015 全国大会 チュータープレゼン
% whoami
渡部裕 (わたなべ ゆたか)◦ ゆったん
◦ Twitter : @ytn86
筑波大学情報科学類2年◦ いわゆるAC入試で入学
セキュリティ・キャンプ 2013 ソフトウェアセキュリティクラス
セキュリティ・キャンプ 2015 チューター
% whoami
ゲヒルン株式会社というところで非常勤職員しています◦ Webアプリケーションの脆弱性診断とか
◦ Joinしてから1年と2ヶ月くらい経ちました
% whoami
~高校◦ ソフトウェアセキュリティ中心
◦ バイナリよんだり, 目grepしたり
大学入学後◦ Webセキュリティ中心に幅広く
◦ Pwnしたり, XSSしたり
◦ セキュリティだけじゃなくて開発とかも
本題
話すこと
脆弱性をみつけること
脆弱性をなくすこと
「脆弱性をみつけること」
脆弱性をみつけること
みなさんは「何のために」脆弱性をみつけますか?
脆弱性をみつけること
CTF ◦ 攻撃する(フラグを得る, 攻防戦なら他のチームの妨害をする, など)ため
現実◦ 世の中をよりセキュアにするため
◦ 報奨金を得るため
◦ For bad purpose
◦ 「俺すげーだろ」って見せびらかすため(Webサイトの改竄とか)等
◦ Etc…
私にとって「脆弱性を見つけること」とは
綺麗事かもしれないけど、「世の中を安全にする」ため◦ 「一般ユーザがより安全にサービスを使える世界にしたい」という昔からの夢
◦ 「脆弱性をなくす」ことにも繋がっている
世の中における「自分の存在価値」を見つけるため◦ 詳細は割愛
どこで脆弱性を見つけるのか
主に「Bug Bounty制度」を持つサービス◦ ルール従えば, 訴えられるようなことはない
◦ うまくいけばついでに報奨金ももらえる
◦ 制度を持たないサービスだと, 訴えられそうでこわい
◦ それでも見つけてしまったら報告する
それっぽい挙動を見つけたサービス◦ あまり深入りはしない
<CENSORED>
どこで脆弱性を見つけるのか
脆弱性診断(仕事)◦ やっぱり仕事でやっている時間が一番多い
◦ もちろん責任は大きい
◦ その分モチベーションも上がるんだよね
◦ 好きなことをやって, 行きていける
◦ やっぱりこれが大きいし, 良い
「脆弱性をなくすこと」
「脆弱性をなくすこと」とは
「世の中を安全にする」こと◦ ミッション
「みんながより安全にサービスを使える」ようにすること◦ 「悪意のある第三者による被害の可能性」を減らす
私自身が目標としていること◦ セキュリティに興味を持ち、キャンプに参加した理由
脆弱性をなくす
すべての脆弱性をなくすことはできるとは思っていない◦ 正直な話
脆弱性を見つけられる前に自分で見つける◦ そして修正することで脆弱性をなくす
企業は診断を受ける事が多いけれど, 個人だと難しい◦ なら個人ユーザ向けにつくっちゃおう
脆弱性をなくすために
脆弱性スキャナの開発◦ AREという大学のプロジェクトとして
修正支援も行う◦ 日本語で修正支援できるものはないはず
脆弱性をなくすために
Pythonライブラリとして開発◦ 各々が拡張しやすいように
まだ実装始めたばかりなのでできてません…◦ 年度内までにはある程度実装したい
脆弱性をなくすために
対象とする脆弱性◦ XSS (Reflected, Stored)
◦ SQL Injection
↑優先事項
↓余裕があれば
◦ DOM Based XSS
◦ Cookieまわり
◦ ディレクトリトラバーサル
◦ XSSI
◦ Etc…
余談
余談
あれ, もしかしてZAPが大体実現したたりする…?
余談
ZAP「やっとるでw」
余談
(´;ω;`)ブワッ
余談
余談
Survey不足でした◦ ZAPの存在忘れてた…
今後も実装自体は進めていく◦ その中でZAP等他にはないものを実装して差別化していきたい
◦ 日本語レポートは対応してなかったはず
脆弱性をなくすために
AREの研究機関は来年1月まで◦ 年内には動くようにしたい
おわりに
Webセキュリティは奥が深い◦ プロたちに消されそう… ▂▅▇█▓▒░('ω')░▒▓█▇▅▂
◦ プロに消されないプロを目指して
(自明)セキュリティといっても, 幅はとても広い◦ 一つの分野だけじゃなくて, 2つ, 3つ…と手を出してほしい
◦ 視野を狭くすることは, 成長を妨げる事にもなる
ご清聴ありがとうございました!
Related Documents
