Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
継続的Webセキュリティテスト
2015/2/19 VAddy Meetup
1
株式会社ビットフォレスト	
  
市川
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
自己紹介
2
• IPA好き 市川
• @cakephper / @ichikaway
• 福岡在住(PHPカンファレンス福岡)
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
3
Webエンジニアは	
  
セキュリティを意識した	
  
開発をすべき!
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
4
本音	
  
セキュリティのこと考えたくない!
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
5
本音2	
  
ライブラリ、	
  
フレームワークで	
  
なんとかして!
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
6
現実	
  
やられたニュースをよく聞く	
  
自分は大丈夫だろうか?
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
7
現実	
  
広範囲のスキャンが来て	
  
凡ミスがあると・・・
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
8
脆弱性もバグ	
  
だからテストしよう!
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
セキュリティテスト
• 脆弱性診断サービス	
  
• セキュリティテストツール	
  
• App	
  Scan	
  
• OWASP...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
OWASP ZAP
10
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
11
ユニットテストと同じく	
  
開発初期から	
  
リリース後まで
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
12
継続的な	
  
セキュリティテスト	
  
が必要
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
世界の流れ
• Google	
  
• GTAC	
  2013:	
  Finding	
  XSS	
  at	
  Google	
...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
世界の流れ
• カーネギーメロン大学ソフトウェア工学部	
  
• http://blog.sei.cmu.edu/post.cfm/sec...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
継続的Webセキュリティテストの課題
• 既存のツールを使う場合	
  
• CIのフローに乗せるのが大変	
  
• 設定項目が多くノウハ...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
重要ポイント
16
Webアプリケーションの動作を	
  
検査ツールが把握して	
  
検査できなければ	
  
まったく意味がない
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
17
なんか・・面倒そう
本音
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
本音
18
ビジネスに関わる開発に	
  
注力したいのに・・
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
19
簡単に導入	
  
運用が不要

効果的な検査

CIサイクルに組込み
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
20
継続的Webセキュリティテストサービス
Vulnerability	
  Assessment	
  is	
  your	
  Bu...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
21
継続的Webセキュリティテストサービス
http://vaddy.net
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddyの特徴
• インストール不要(SaaS)	
  
• 無料	
  
• CI連携可能	
  
• WebAPI提供	
  
• J...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
よくある構成
23
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddyの特徴
24
特別な設定なしでVAddyが

アプリケーションの動作を理解して	
  
正確に検査できるように
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddyのポリシー
25
開発者が	
  
開発に注力できるように!
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddyの特徴
26
機械学習を使った	
  
セキュリティ検査の	
  
エンジンを独自開発
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddy DEMO
27
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
脆弱性の種類、問題のパラメータ名
28
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
再現用の攻撃リクエスト
29
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
30
まずは	
  
VAddyやOWASP	
  ZAP	
  
を使って評価	
  
小さく初めてみる
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
31
継続的な	
  
セキュリティテストが	
  
今後のトレンドになる
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
VAddyの現状(2015/5 現在)
• 無料プランのみ提供中	
  
• 何度でもスキャン実行可能	
  
• SQLインジェクション、...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
現状、可能な検査(SQLi, XSS)
• GET/POST/PUT/DELETEのパラメータの検査	
  
• RestAPI対応、パラメ...
Copyright	
  (c)	
  	
  Bitforest	
  Co.,	
  Ltd.
 
34
http://vaddy.net
ご清聴ありがとう	
  
ございました
Upcoming SlideShare
Loading in …5
×

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

7,233 views

Published on

継続的Webセキュリティテスト
PHPカンファレンス関西2015 LT資料

Published in: Technology
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/yyxo9sk7 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

  1. 1. Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト   市川
  2. 2. Copyright  (c)    Bitforest  Co.,  Ltd.   自己紹介 2 • IPA好き 市川 • @cakephper / @ichikaway • 福岡在住(PHPカンファレンス福岡)
  3. 3. Copyright  (c)    Bitforest  Co.,  Ltd.   3 Webエンジニアは   セキュリティを意識した   開発をすべき!
  4. 4. Copyright  (c)    Bitforest  Co.,  Ltd.   4 本音   セキュリティのこと考えたくない!
  5. 5. Copyright  (c)    Bitforest  Co.,  Ltd.   5 本音2   ライブラリ、   フレームワークで   なんとかして!
  6. 6. Copyright  (c)    Bitforest  Co.,  Ltd.   6 現実   やられたニュースをよく聞く   自分は大丈夫だろうか?
  7. 7. Copyright  (c)    Bitforest  Co.,  Ltd.   7 現実   広範囲のスキャンが来て   凡ミスがあると・・・
  8. 8. Copyright  (c)    Bitforest  Co.,  Ltd.   8 脆弱性もバグ   だからテストしよう!
  9. 9. Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト • 脆弱性診断サービス   • セキュリティテストツール   • App  Scan   • OWASP  ZAP   • VAddy 9
  10. 10. Copyright  (c)    Bitforest  Co.,  Ltd.   OWASP ZAP 10
  11. 11. Copyright  (c)    Bitforest  Co.,  Ltd.   11 ユニットテストと同じく   開発初期から   リリース後まで
  12. 12. Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
  13. 13. Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
  14. 14. Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
  15. 15. Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • CIのフローに乗せるのが大変   • 設定項目が多くノウハウを貯める必要 15
  16. 16. Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 16 Webアプリケーションの動作を   検査ツールが把握して   検査できなければ   まったく意味がない
  17. 17. Copyright  (c)    Bitforest  Co.,  Ltd.   17 なんか・・面倒そう 本音
  18. 18. Copyright  (c)    Bitforest  Co.,  Ltd.   本音 18 ビジネスに関わる開発に   注力したいのに・・
  19. 19. Copyright  (c)    Bitforest  Co.,  Ltd.   19 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
  20. 20. Copyright  (c)    Bitforest  Co.,  Ltd.   20 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
  21. 21. Copyright  (c)    Bitforest  Co.,  Ltd.   21 継続的Webセキュリティテストサービス http://vaddy.net
  22. 22. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • インストール不要(SaaS)   • 無料   • CI連携可能   • WebAPI提供   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 22
  23. 23. Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 23
  24. 24. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 24 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるように
  25. 25. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 25 開発者が   開発に注力できるように!
  26. 26. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 26 機械学習を使った   セキュリティ検査の   エンジンを独自開発
  27. 27. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy DEMO 27
  28. 28. Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 28
  29. 29. Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 29
  30. 30. Copyright  (c)    Bitforest  Co.,  Ltd.   30 まずは   VAddyやOWASP  ZAP   を使って評価   小さく初めてみる
  31. 31. Copyright  (c)    Bitforest  Co.,  Ltd.   31 継続的な   セキュリティテストが   今後のトレンドになる
  32. 32. Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/5 現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • Rubyクライアント提供中   • CircleCI,  TravisCI,  Codeshipなどに対応 32
  33. 33. Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン(Angular.jsも含め)   • SSL上のアプリケーション 33
  34. 34. Copyright  (c)    Bitforest  Co.,  Ltd.   34 http://vaddy.net ご清聴ありがとう   ございました

×