「脆弱性をみつける」から「脆弱性をなくす」へ

セキュリティ・キャンプ 2015 全国大会 チュータープレゼン

% whoami

渡部裕 (わたなべ ゆたか)◦ ゆったん

◦ Twitter : @ytn86

筑波大学情報科学類2年◦ いわゆるAC入試で入学

セキュリティ・キャンプ 2013 ソフトウェアセキュリティクラス

セキュリティ・キャンプ 2015 チューター

% whoami

ゲヒルン株式会社というところで非常勤職員しています◦ Webアプリケーションの脆弱性診断とか

◦ Joinしてから1年と2ヶ月くらい経ちました

% whoami

～高校◦ ソフトウェアセキュリティ中心

◦ バイナリよんだり, 目grepしたり

大学入学後◦ Webセキュリティ中心に幅広く

◦ Pwnしたり, XSSしたり

◦ セキュリティだけじゃなくて開発とかも

本題

話すこと

脆弱性をみつけること

脆弱性をなくすこと

「脆弱性をみつけること」

脆弱性をみつけること

みなさんは「何のために」脆弱性をみつけますか？

脆弱性をみつけること

CTF ◦ 攻撃する(フラグを得る, 攻防戦なら他のチームの妨害をする, など)ため

現実◦ 世の中をよりセキュアにするため

◦ 報奨金を得るため

◦ For bad purpose

◦ 「俺すげーだろ」って見せびらかすため（Webサイトの改竄とか）等

◦ Etc…

私にとって「脆弱性を見つけること」とは

綺麗事かもしれないけど、「世の中を安全にする」ため◦ 「一般ユーザがより安全にサービスを使える世界にしたい」という昔からの夢

◦ 「脆弱性をなくす」ことにも繋がっている

世の中における「自分の存在価値」を見つけるため◦ 詳細は割愛

どこで脆弱性を見つけるのか

主に「Bug Bounty制度」を持つサービス◦ ルール従えば, 訴えられるようなことはない

◦ うまくいけばついでに報奨金ももらえる

◦ 制度を持たないサービスだと, 訴えられそうでこわい

◦ それでも見つけてしまったら報告する

それっぽい挙動を見つけたサービス◦ あまり深入りはしない

<CENSORED>

どこで脆弱性を見つけるのか

脆弱性診断（仕事）◦ やっぱり仕事でやっている時間が一番多い

◦ もちろん責任は大きい

◦ その分モチベーションも上がるんだよね

◦ 好きなことをやって, 行きていける

◦ やっぱりこれが大きいし, 良い

「脆弱性をなくすこと」

「脆弱性をなくすこと」とは

「世の中を安全にする」こと◦ ミッション

「みんながより安全にサービスを使える」ようにすること◦ 「悪意のある第三者による被害の可能性」を減らす

私自身が目標としていること◦ セキュリティに興味を持ち、キャンプに参加した理由

脆弱性をなくす

すべての脆弱性をなくすことはできるとは思っていない◦ 正直な話

脆弱性を見つけられる前に自分で見つける◦ そして修正することで脆弱性をなくす

企業は診断を受ける事が多いけれど, 個人だと難しい◦ なら個人ユーザ向けにつくっちゃおう

脆弱性をなくすために

脆弱性スキャナの開発◦ AREという大学のプロジェクトとして

修正支援も行う◦ 日本語で修正支援できるものはないはず

脆弱性をなくすために

Pythonライブラリとして開発◦ 各々が拡張しやすいように

まだ実装始めたばかりなのでできてません…◦ 年度内までにはある程度実装したい

脆弱性をなくすために

対象とする脆弱性◦ XSS (Reflected, Stored)

◦ SQL Injection

↑優先事項

↓余裕があれば

◦ DOM Based XSS

◦ Cookieまわり

◦ ディレクトリトラバーサル

◦ XSSI

◦ Etc…

余談

余談

あれ, もしかしてZAPが大体実現したたりする…?

余談

ZAP「やっとるでｗ」

余談

(´；ω；｀)ﾌﾞﾜｯ

余談

余談

Survey不足でした◦ ZAPの存在忘れてた…

今後も実装自体は進めていく◦ その中でZAP等他にはないものを実装して差別化していきたい

◦ 日本語レポートは対応してなかったはず

脆弱性をなくすために

AREの研究機関は来年1月まで◦ 年内には動くようにしたい

おわりに

Webセキュリティは奥が深い◦ プロたちに消されそう… ▂▅▇█▓▒░('ω')░▒▓█▇▅▂

◦ プロに消されないプロを目指して

(自明)セキュリティといっても, 幅はとても広い◦ 一つの分野だけじゃなくて, 2つ, 3つ…と手を出してほしい

◦ 視野を狭くすることは, 成長を妨げる事にもなる

ご清聴ありがとうございました！