OWASP Testing Guideからはじめよう
セキュリティ診断技術の共有、そして横展開
セキュリティテストの技術共有を
目的としたコミュニティをつくりたい
nishimunea (cv: Muneaki Nishimura)
Weekend Bug Hunter
Lecturer of Security Camp 2014-2015
きっかけは転職
攻撃する側 防御する側
攻撃する側
防御する側
一つでも穴を見つければ勝ち
全ての攻撃を防がなければ負け
:
:
体系的なセキュリティテストの
技術を身につけたい
診断士やバグハンターが集い
共に学ぶ場があると良いのでは!
情報共有スペースを作りました
https://sec-testing.slack.com
登録はこちら(Slackin)から
http://csrf.jp:3000
熟練者だけでなく初心者も集える場に
(マサカリ禁止)
• このツールを使うと便利ですよ
• うちの会社ではこういったテストをやってますよ
• この脆弱性の攻撃コードって公開されてますか?
例えばこんな会話がしたい
LIMIT 1 UNION ALL SELECT User, Password
FROM mysql.user;
診断で困ってます。MySQLの複数行クエリ無効時に
以下のLIMIT句でSQLインジェクションは可能ですか?
SELECT title, content FROM posts
ORDER BY date DESC
LIMIT $INJECTION;
それなら、普通に UNION が使えませんか?
それが、直前に ORDER BY があるので
UNION は使えないんです。
LIMIT 1 PROCEDURE ANALYZE
(ExtractValue(1,concat(0x2c,user())),1) ;
だったら、PROCEDURE ANALYZEはどうでしょう?
で、できました!ありがとうございます!
例えば OWASP Testing Guide を読んで
わからないことを質問してみよう
99の技術領域をカバーしたテストガイド
(しかも無料)
• 情報収集 • 入力値検証
• コンフィグとデプロイの管理 • エラーハンドリング
• ID管理 • 弱い暗号
• 認証 • ビジネスロジック
• 認可 • クライアントテスト
• セッション管理
• information-gathering • injection-general
• config-and-deploy • error-handling
• identity-management • crypto
• authentication • business-logic
• authorization • new-features
• session-management • etc.
Slack の Channel は
OWASP Testing Guide v4 の目次に対応
2014年9月リリース
古い記述や足りないテストケースもある
アップデートの予定はないのか
リーダーの Andrew Muller に聞いてみた
で、キミは何をコントリビュートできんの?
今年は2年に1度のアップデートの年!
• コミュニティで共有されたテスト情報はOWASP Testing Project にフィードバック
• 次版のガイドに Reviewer として名前が載るといいね!
登録はこちら(Slackin)から
http://csrf.jp:3000