• Home

  • Technology

  • カジュアルにセキュリティテストはじめよう
13
カジュアルに セキュリティテスト はじめよう 2016-05-20 Aki@nekoruri Xtone ピザ会

カジュアルにセキュリティテストはじめよう

Embed Size (px)

Citation preview

Page 1: カジュアルにセキュリティテストはじめよう

カジュアルにセキュリティテスト

はじめよう2016-05-20

Aki@nekoruri

Xtone ピザ会

Page 2: カジュアルにセキュリティテストはじめよう

とは言ったけど

• まあ人として普通SQLインジェクション対策とかはしてるよね。• 「ふつーPrepared Statementだし」

• 「ふつーORMだし」

• 「ふつーNoSQLだし」?

Page 3: カジュアルにセキュリティテストはじめよう

動的クエリからは逃げられない

• テーブル名• 時系列データ

• カラム名• 検索条件

• ソート条件

• IN句• 数が変わる

• 複雑な複合クエリの高速化

Page 4: カジュアルにセキュリティテストはじめよう

人はミスをする

• どのORM/DBライブラリでも両方を用意している• パラメータ化される変数

• パラメータ化されず展開される変数

Page 5: カジュアルにセキュリティテストはじめよう

人はミスをする

• どのORM/DBライブラリでも両方を用意している• パラメータ化される変数

• パラメータ化されず展開される変数

• MyBatis3の場合• #{absolutelySafeValue} ──── パラメータ化

• ${absolutelySafeValue} ──── 直接展開

• どっちがどっちかわかるかぼけー!(ノ`Д´)ノ彡┻━┻

Page 6: カジュアルにセキュリティテストはじめよう
Page 7: カジュアルにセキュリティテストはじめよう
Page 8: カジュアルにセキュリティテストはじめよう

それテストできるよ

• まあ人として普通テスト書いてるよね。

• 自動テストしよう

• 自動CIしよう

Page 9: カジュアルにセキュリティテストはじめよう

「うっかり」から人類を守る4文字

• 以下の4文字をテストデータの末尾に入れるだけ!かんたん!

'"¥;Special thanks to securitytesting slack #sqli members.

Page 10: カジュアルにセキュリティテストはじめよう

テストデータにこの4文字を入れる事で

• 基本的に例外でこけます。

• 例外に落ちなくても結果が変わってテストがこけます。

• 手間はほとんど掛かりません。 ← 重要どうせテストデータなんてコピペでしょ?

• 考えることが減りストレスも減って健康になります。

Page 11: カジュアルにセキュリティテストはじめよう

世の中SQLインジェクションだけじゃない

• はい

Page 12: カジュアルにセキュリティテストはじめよう

セキュリティテストCI

• サービスの力を借りる• VAddy

http://vaddy.net/ja/

• Waltihttps://walti.io/

• 自前できちんとセキュリティテスト• Selenium等のエンドツーエンドテスト書いていれば、

OWASP ZAP等のProxyを挟んで脆弱性診断

• Selenium と OWASP ZAP を使った自動脆弱性検査への道http://www.pupha.net/archives/2467/

※今自分のところでできているとは言っていない

http://vaddy.net/ja/
https://walti.io/
http://www.pupha.net/archives/2467/
http://www.pupha.net/archives/2467/
Page 13: カジュアルにセキュリティテストはじめよう

まとめ

• テストデータの末尾に以下の4文字を入れよう

• カジュアルに外部サービスや診断ツールも使おう

'"¥;


20130921 カジュアルにテストしてフォーマルに検証する #toRuby

20130921 カジュアルにテストしてフォーマルに検証する #toRuby

Documents
カジュアルにMongo dbのbackup機能説明

カジュアルにMongo dbのbackup機能説明

Technology
ビッグデータとナビによるカジュアル ITS(20170124, ITS Japan ITSJapan_コミュニティプラザ)

ビッグデータとナビによるカジュアル ITS(20170124, ITS Japan ITSJapan_コミュニティプラザ)

Engineering
沢山のスマホサービス環境を カジュアルにセキュアに運用する

沢山のスマホサービス環境を カジュアルにセキュアに運用する

Documents
カジュアル Python 勉強会 (2011/04/09)

カジュアル Python 勉強会 (2011/04/09)

Documents
PHP と MySQL でカジュアルに MapReduce する (Short Version)

PHP と MySQL でカジュアルに MapReduce する (Short Version)

Technology
TRAPEZOIDAL SCREW THREADS / SLIDE SCREWS …TRAPEZOIDAL SCREW THREADS 30度台形ねじ -台形ねじ概要- 種類 すべりねじ 台形ねじ 転造ボールねじ 精密ボールねじ

TRAPEZOIDAL SCREW THREADS / SLIDE SCREWS …TRAPEZOIDAL SCREW THREADS 30度台形ねじ -台形ねじ概要- 種類 すべりねじ 台形ねじ 転造ボールねじ 精密ボールねじ

Documents
ESW-1200II ESW-1200sII - · PDF fileもくじももくくじじもくじ !"#$ !"#$ !"#$ !"#$ %&'()*+,- ./0'()*+,

ESW-1200II ESW-1200sII - · PDF fileもくじももくくじじもくじ !"#$ !"#$ !"#$ !"#$ %&'()*+,- ./0'()*+,

Documents
はじめてのDreamforce はじめてのLightning

はじめてのDreamforce はじめてのLightning

Technology
第13回 カジュアル Swift 勉強会 @ 青葉台 オープニング #cswift

第13回 カジュアル Swift 勉強会 @ 青葉台 オープニング #cswift

Software
パート1 はじめてのにほんごanata no kuni じ (ji) 1 いちじ ichi ji 2 にじ ni ji 3 さんじ san ji 4 よじ yo ji 5 ごじ go ji 6 ろくじ roku ji 7 しちじ

パート1 はじめてのにほんごanata no kuni じ (ji) 1 いちじ ichi ji 2 にじ ni ji 3 さんじ san ji 4 よじ yo ji 5 ごじ go ji 6 ろくじ roku ji 7 しちじ

Documents
العمرية للتجديد الصوفيBasmala):*ごじぐぬGΜk づk7Ilkぐ じGあぐ じGぐぬkぐ どじY riqiGkぐ にじぬEぬ tkぎ sBKmk7B こぐじぬEぬlkぐ aqlEぬ

العمرية للتجديد الصوفيBasmala):*ごじぐぬGΜk づk7Ilkぐ じGあぐ じGぐぬkぐ どじY riqiGkぐ にじぬEぬ tkぎ sBKmk7B こぐじぬEぬlkぐ aqlEぬ

Documents
エロサイトのじわじわ (TV放送コード版)

エロサイトのじわじわ (TV放送コード版)

Technology
カジュアルにスレッドダンプ - @yusuke #javacasual

カジュアルにスレッドダンプ - @yusuke #javacasual

Technology
ローマ字 手ほどき (1)1 1.もじ きまり ローマ字を かく もじは ラテンもじ です。大もじ(おおもじ)と 小もじ(こもじ)が そ れぞれ

ローマ字 手ほどき (1)1 1.もじ きまり ローマ字を かく もじは ラテンもじ です。大もじ(おおもじ)と 小もじ(こもじ)が そ れぞれ

Documents
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

Technology
カジュアルに本番データを開発環境に入れる #mysqlcasual

カジュアルに本番データを開発環境に入れる #mysqlcasual

Engineering
データセンター移行に伴い、 MySQLをカジュアルにアップグレードしたお話

データセンター移行に伴い、 MySQLをカジュアルにアップグレードしたお話

Technology
買収案件のセキュリティテストを 円滑に進める手段

買収案件のセキュリティテストを 円滑に進める手段

Engineering
01 ねじ切機12 ねじ切機 グルーバー ダイヘッド チェーザ ボルトマシン・ 既設管用ねじ切機 ねじ切機 配管工具 アングル加工 ねじ切機

01 ねじ切機12 ねじ切機 グルーバー ダイヘッド チェーザ ボルトマシン・ 既設管用ねじ切機 ねじ切機 配管工具 アングル加工 ねじ切機

Documents
カジュアル パーティー プラン 10名様~ 11名様名様 … party plan.pdfカジュアル パーティー プラン10名様~ 11名様名様4,0004,000円円 ガ ラ ス

カジュアル パーティー プラン 10名様~ 11名様名様 … party plan.pdfカジュアル パーティー プラン10名様~ 11名様名様4,0004,000円円 ガ ラ ス

Documents
じょうじまとしょかん...じょうじまとしょかん 11/9(土) うけ つけ かい し かいじょう ば しょ じょう じま そう ごう ぶん か かい 💛

じょうじまとしょかん...じょうじまとしょかん 11/9(土) うけ つけ かい し かいじょう ば しょ じょう じま そう ごう ぶん か かい 💛

Documents
Jaws days ランキング1位の人気スマホアプリを カジュアル×セキュアに運用する

Jaws days ランキング1位の人気スマホアプリを カジュアル×セキュアに運用する

Technology
テーマ「 福岡市いじめゼロプロジェクト · テーマ「 福岡市いじめゼロプロジェクト 」 副題「 ~いじめゼロサミット2014・いじめゼロ実現プロジェクト

テーマ「 福岡市いじめゼロプロジェクト · テーマ「 福岡市いじめゼロプロジェクト 」 副題「 ~いじめゼロサミット2014・いじめゼロ実現プロジェクト

Documents
PHP と MySQL でカジュアルに MapReduce する

PHP と MySQL でカジュアルに MapReduce する

Technology
第7回 カジュアル Swift 勉強会 @ 青葉台 オープニング #cswift

第7回 カジュアル Swift 勉強会 @ 青葉台 オープニング #cswift

Engineering
ACCESSORIES - dl.fgaj.info · フロアマットベーシックと同デザインのラゲッジマット。 59123543 フロアマット カジュアル スクワークルのデザインをモチーフにしたヒールパッドを採

ACCESSORIES - dl.fgaj.info · フロアマットベーシックと同デザインのラゲッジマット。 59123543 フロアマット カジュアル スクワークルのデザインをモチーフにしたヒールパッドを採

Documents
Vol.118 〈ぬくもりの布 ナチュラル&カジュアル編〉 · 00005873_72a 00006846_72a 00006850_72a 00006854_72a 00006859_72a 00005874_72a 00006847_72a 00006851_72a 00006855_72a

Vol.118 〈ぬくもりの布 ナチュラル&カジュアル編〉 · 00005873_72a 00006846_72a 00006850_72a 00006854_72a 00006859_72a 00005874_72a 00006847_72a 00006851_72a 00006855_72a

Documents
JRで行く ビジネス&カジュアル 広島ホテルプラン...2122 24252627 516171819202122232425262728 21314151617181920212223242526 11819202122232425262728293031 1151617181920212223242526

JRで行く ビジネス&カジュアル 広島ホテルプラン...2122 24252627 516171819202122232425262728 21314151617181920212223242526 11819202122232425262728293031 1151617181920212223242526

Documents
TokyoWebminig カジュアルなHadoop

TokyoWebminig カジュアルなHadoop

Technology