EC-CUBE, profile picture
Uploaded byEC-CUBE
PDF, PPTX985 views

20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例

2017年11月22日のVAddy MeetUpで発表した。 EC-CUBE のVAddy活用事例

Embed presentation

Download as PDF, PPTX
Agenda • EC-CUBEとは • VAddy導入前 • VAddy導入のきっかけ • EC-CUBEの開発プロセス • EC-CUBEの開発プロセスに組み込む • VAddyを使ってみて
EC-CUBE とは
VAddy 導入前
社内脆弱性診断ツール比較検討 • OWASP ZAPとかどうなん? • あとみんな活用できてる?
ネットでの評判 Price and Feature Comparison of Web Application Scanners http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html
データが古かったので取り直してみる • WAVSEP • https://github.com/sectooladdict/wavsep • ベンチマークの対象となったアプリケーション • 脆弱性の含まれる画面が大量に用意されている
VAddy以外の有償ツールを採用 • 高機能 • 検出できる脆弱性の種類も多い • 設定は複雑なので徐々に教育していく • 実行方法はJenkinsからキックできる仕組みを構築 • 実行時間がかかるので(数日かかることも)、リリース前にスキャン をかける
社内脆弱性対策講座 • AppGoatを使った社内エンジニア向け講座を実施 • https://www.ipa.go.jp/security/vuln/appgoat/ • どのツールを使ってもレポートの内容がわからなければ意味がな い • 脆弱性を理解しておけば普段書くコードにも気を使う
VAddy 導入 きっかけ
どうやってVAddyを組み込むか? • せっかく(スキャン回数無制限)なので頻繁にスキャンさせたい • 普段の開発に負担がかからないようにしたい(仕事を増やしたくな い) • 可能な限り自動化したい
EC-CUBEの開発方法
EC-CUBEの普段の開発 • GitHub Flow • 直接pushせずにPull Reuestを送る • PHPUnitによる自動テスト • TravisCI上で実行され、すべてパスしないとマージされない • MySQL/PostgreSQL、PHP複数バージョン • Codeceptionによる自動Webテスト • 1日1回夜中に実行 • Chrome/Firefox、MySQL/PostgreSQL、PHP複数バージョン
VAddyを使うためにやること • アカウント作成 • 検証用サーバ構築 • クロールデータ作成 • スキャン実行
VAddyを使うためにやること • アカウント作成 • 検証用サーバ構築 • クロールデータ作成 ← めんどくさそう • スキャン実行
クロールデータ作成 • 手動 • プロキシ設定してひたすらクリックする人 • 自動 • プロキシ設定してひたすらクリックするスクリプト • 画面が追加されたときにスクリプトもメンテし続ける強い気持ち • 自分が離れたときに忘れず引き継いでもらえるか?
Webテストを流用する • 既存のテストケースから画面を網羅できるだけのテストケースを 抽出 • https://github.com/EC-CUBE/eccube-codeception/commit/7115700 2dcd8ff9eede9fc6faff2adc2b24828c1 • 普段のテスト実行 $ codecept run • VAddyクローラデータ作成(画面を網羅するケースだけ実行) $ codecept run --group vaddy
Webテスト WebDriver HTTP
Webテストを利用したクロールデータ作成 WebDriver internet HTTP Proxy 画面を網羅できるだけ のテストケースを実行 クロールデータを保存
VAddyによるスキャン internet 最後に作成したクロール データを元にスキャン
脆弱性診断を行うための事前申請 • AWS他クラウドサーバーに対する脆弱性診断の事前申請につい て • 事前申請が必要だと、頻繁にはスキャンできない • さくらのクラウドは事前申請不要
VAddyを使ってみて • Webテストを書けばバグも脆弱性も発見できる仕組み • 実行時間が短いので早めのフィードバックが得られる • 毎日の開発に組み込むことができるのはありがたい • まだ始めたところなのでいろいろ改善していきたい • クロールデータが重複していて時間が掛かる • クロール時に削除されたページに対して、スキャン時にPOSTしてしまて る。。 • VAddy上にクロールデータが溜まり続ける • OWASP ZAPのスパイダー機能つかってクロールデータ作れないか な?
ご清聴ありがとう ございました。

More Related Content

PPTX
Vaddyサービス説明資料
bykatsuya nishino
 
PPTX
Laravel Livewire の紹介
byt Dash
 
PDF
継続的セキュリティテストVaddy説明資料
byichikaway
 
PDF
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
PDF
VAddy - CI勉強会 fukuoka
byichikaway
 
PDF
SeleniumConf Chicago 参加報告
byaha_oretama
 
PDF
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
PDF
WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイ...
byMasanori Fujisaki
 
Vaddyサービス説明資料
bykatsuya nishino
 
Laravel Livewire の紹介
byt Dash
 
継続的セキュリティテストVaddy説明資料
byichikaway
 
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
VAddy - CI勉強会 fukuoka
byichikaway
 
SeleniumConf Chicago 参加報告
byaha_oretama
 
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
WordCamp2015 LT WordPress+VPSでつくられたWebサイトのセキュリティチェックポイントとWordPressの「Waltiプラグイ...
byMasanori Fujisaki
 

Similar to 20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例

PPTX
Ec cubeで仕事をするということ
byMakoto Nishimura
 
PPTX
Azure上でec cubeを運用するポイント
byMakoto Nishimura
 
KEY
EC-CUBE + PHPUnit で 実践テスト駆動開発
byKentaro Ohkouchi
 
PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう!
byichikaway
 
PPT
EC-CUBEの設計思想について
byKentaro Ohkouchi
 
PDF
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
PDF
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
PDF
phpcon kansai 20140628
byichikaway
 
PDF
Osaka Venture Meetup #3
byKiyotaka Oku
 
PDF
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
byMakoto SAKAI
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
2016 07-16 PHPカンファレンス関西2016(EC-CUBE)
byEC-CUBE
 
PPTX
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
byKentaro Ohkouchi
 
PDF
CloudSpiral 2014年度 Webアプリ講義(1日目)
byShin Matsumoto
 
PPTX
Microsoft Azure x EC-CUBE @西浦温泉
byKentaro Ohkouchi
 
KEY
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
byKentaro Ohkouchi
 
PDF
EC-CUBEをEngineYardで動かそう!
byChihiro Adachi
 
PPTX
201710_EC-CUBE 開発進捗説明会:開発背景・今後のスケジュール
byEC-CUBE
 
PPTX
Symfonyコンポーネントで生まれ変わるEC-CUBE
byShinichi Takahashi
 
Ec cubeで仕事をするということ
byMakoto Nishimura
 
Azure上でec cubeを運用するポイント
byMakoto Nishimura
 
EC-CUBE + PHPUnit で 実践テスト駆動開発
byKentaro Ohkouchi
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
脆弱性もバグ、だからテストしよう!
byichikaway
 
EC-CUBEの設計思想について
byKentaro Ohkouchi
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
phpcon kansai 20140628
byichikaway
 
Osaka Venture Meetup #3
byKiyotaka Oku
 
新技術で未来の扉を開け! - Node-REDの環境構築と社内導入 -
byMakoto SAKAI
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
2016 07-16 PHPカンファレンス関西2016(EC-CUBE)
byEC-CUBE
 
EC-CUBE3系より新しい EC-CUBE2系の開発事例紹介
byKentaro Ohkouchi
 
CloudSpiral 2014年度 Webアプリ講義(1日目)
byShin Matsumoto
 
Microsoft Azure x EC-CUBE @西浦温泉
byKentaro Ohkouchi
 
【初心者向け】EC-CUBE プラグイン作成 ハンズオンセミナー @ 名古屋
byKentaro Ohkouchi
 
EC-CUBEをEngineYardで動かそう!
byChihiro Adachi
 
201710_EC-CUBE 開発進捗説明会:開発背景・今後のスケジュール
byEC-CUBE
 
Symfonyコンポーネントで生まれ変わるEC-CUBE
byShinichi Takahashi
 

More from EC-CUBE

PDF
202101 EC-CUBE 4.1 開発進捗説明会
byEC-CUBE
 
PDF
2020_EC-CUBEパートナー新年会発表資料
byEC-CUBE
 
PDF
201809_EC-CUBE4.0概要説明
byEC-CUBE
 
PPTX
201710_EC-CUBE 開発進捗説明会:Customize・Pluginライブコーディン
byEC-CUBE
 
PPTX
20171117 最新機能紹介
byEC-CUBE
 
PPTX
201710_EC-CUBE 開発進捗説明会:拡張APIダイジェスト
byEC-CUBE
 
PPTX
201703 EC-CUBE 3.1開発方針説明会:機能カスタマイズ編 01_全体方針
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_3_カスタマイズ
byEC-CUBE
 
PPTX
201710_EC-CUBE 開発進捗説明会:管理画面UI改善
byEC-CUBE
 
PPTX
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 01_全体方針
byEC-CUBE
 
PPTX
201703 EC-CUBE 3.1開発方針説明会:機能カスタマイズ編 02_機能カスタマイズのためのアーキテクチャ
byEC-CUBE
 
PPTX
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 04_機能改善
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_1_3.n概要説明
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_4_カスタマイズデモ
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_5_管理画面UI改善
byEC-CUBE
 
PPTX
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 02_デザインカスタマイズ
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_2_フレームワーク変更
byEC-CUBE
 
PDF
201803_EC-CUBE開発進捗説明会_6_多言語化
byEC-CUBE
 
202101 EC-CUBE 4.1 開発進捗説明会
byEC-CUBE
 
2020_EC-CUBEパートナー新年会発表資料
byEC-CUBE
 
201809_EC-CUBE4.0概要説明
byEC-CUBE
 
201710_EC-CUBE 開発進捗説明会:Customize・Pluginライブコーディン
byEC-CUBE
 
20171117 最新機能紹介
byEC-CUBE
 
201710_EC-CUBE 開発進捗説明会:拡張APIダイジェスト
byEC-CUBE
 
201703 EC-CUBE 3.1開発方針説明会:機能カスタマイズ編 01_全体方針
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_3_カスタマイズ
byEC-CUBE
 
201710_EC-CUBE 開発進捗説明会:管理画面UI改善
byEC-CUBE
 
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 01_全体方針
byEC-CUBE
 
201703 EC-CUBE 3.1開発方針説明会:機能カスタマイズ編 02_機能カスタマイズのためのアーキテクチャ
byEC-CUBE
 
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 04_機能改善
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_1_3.n概要説明
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_4_カスタマイズデモ
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_5_管理画面UI改善
byEC-CUBE
 
201706 EC-CUBE 3.1開発進捗説明会:デザインカスタマイズ&新機能編 02_デザインカスタマイズ
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_2_フレームワーク変更
byEC-CUBE
 
201803_EC-CUBE開発進捗説明会_6_多言語化
byEC-CUBE
 

20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例