SlideShare a Scribd company logo

OWASP Cheatsheetを参考にやられアプリ作ってみた

Download as PPTX, PDF
M
mkoda

OWASP Connect in Tokyo #2 で利用した資料です。

Education
1 of 22
OWASP Cheatsheet を参考にやられアプリ 作ってみた @halkichisec OWASP Connect in Tokyo#2 2019.01.25
OWASP Connect in Tokyo #2 2019.01.25 Who am I? >幸田将司 セキュリティエンジニア: - 脆弱性診断を主な業務にしています。 - たまにセキュリティ啓蒙活動とかも。 経歴: - 業界入ってからからずっとセキュリティ部門 - 現在はフリーランスとして活動中。 twitter: - @halkichisec
OWASP Connect in Tokyo #2 2019.01.25 今回お話する内容 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 今回つくった環境
OWASP Connect in Tokyo #2 2019.01.25 前回のOWASP Connect資料より https://owaspprteam.connpass.com/event/99292/ @とある診断員さんの資料
OWASP Connect in Tokyo #2 2019.01.25 やられアプリとは
OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 意図的に脆弱性を作り込んであるアプリケーションのこと • XSS • CSRF • SQLインジェクション • OSコマンドインジェクション...etc そんなもの何に使うの?
OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 利用するメリット • 脆弱性の学習に (名前は知っているけど...どういう脆弱性か知らないやつとか) • スキャンツールを試せる (OWASP ZAPとかぶんまわせる) • 攻撃しても怒られない!
OWASP Connect in Tokyo #2 2019.01.25 OWASP で公開されているアプリ OWASP BWA (The Broken Web Applications) 色々な脆弱性を盛り込んだ アプリ群 VMイメージ/ISOで配布 おすすめはbWAPP
OWASP Connect in Tokyo #2 2019.01.25 OWASP で公開されているアプリ集 • OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ⇨PHP, Java率が高め
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや • セキュリティにおけるチートシート。 • 実装の注意点、スタンダードを網羅している。 • 脆弱なコードのパターンや攻撃の文字列なども。 • セキュリティに興味があるエンジニアさんなら、検証の文字列をまず は自分のアプリケーションに片っ端から試してみるのも良いかも。
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetがフォローしている項目
OWASP Connect in Tokyo #2 2019.01.25 • Authentication 認証についてのスタンダード。 パスワード長は? メールアドレスの妥当性チェックは? • Input Validation 入力値はいつチェックする?どこまで見る? • Output Encoding 出力時のサニタイズとかとか...主にXSS。 • Cross Domain 外部ドメインからのリソース取得に関する注意事項。 • Logging ログに出力するべき物は何か。 • Uploads ファイルアップロードの注意事項。 OWASP CheatSheetがフォローしている項目 (機能ピックアップ)
OWASP Connect in Tokyo #2 2019.01.25 • もちろん脆弱性ベースでも資料が用意されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど • 言語ベースもある(PHP, Java, Rubyなど) コード例が載っているのでより具体的!
OWASP Connect in Tokyo #2 2019.01.25 今回つくったやられアプリで参考にしたもの • Ruby on Rails Cheatsheet RailsのGood/Badパターンのまとめ。 サンプルコードが多いので僕のようなコピペプログラマも安心。
OWASP Connect in Tokyo #2 2019.01.25 今回つくったやられアプリ • Rails_Broken_App (Ruby on Rails)
OWASP Connect in Tokyo #2 2019.01.25 • Rails_Broken_App https://github.com/halkichi0308/rails_broken_app • コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 • フォローした脆弱性 • XSS • SQL injection • Open Redirect • CSRF • セットアップ 3つコマンド叩くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 鋭意開発中
OWASP Connect in Tokyo #2 2019.01.25 紹介したいところ • Dockerを使っているので起動が早い。(2回目以降) • ソースコードから脆弱性のある箇所が見える。 • 脆弱性を修正してすぐに確認できる! 脆弱性のあるコードと 対策されたコードを記載
OWASP Connect in Tokyo #2 2019.01.25 デモ
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetを使うメリット • セキュリティ対策の指標になる! まず何をすれば良い?どこまで対策すれば良い? • ユーザへの説明に利用できる! この脆弱性ならこの資料を参照して〜の様に • やられサイト作る時のアイデアがGETできる!
OWASP Connect in Tokyo #2 2019.01.25 なんか難しそう...。でも大丈夫。 日本語に翻訳されている資料もありまぁす • OWASP CheatSheetSeries日本語版 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition • Ruby on Rails に関するチートシート(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
OWASP Connect in Tokyo #2 2019.01.25 皆さんもやられアプリ挑戦してみてはいかがでしょうか?

Recommended

ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection についてoshiro_seiya
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1Tatsuya Yamamoto
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 

Recommended

ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection についてoshiro_seiya
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1Tatsuya Yamamoto
 
OWASP Top 10 超初級編
OWASP Top 10 超初級編OWASP Top 10 超初級編
OWASP Top 10 超初級編AkitadaOmagari
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)shingo inafuku
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeekstobaru_yuta
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!Takayuki Ushida
 
第8回脆弱性診断入門
第8回脆弱性診断入門第8回脆弱性診断入門
第8回脆弱性診断入門ionis111
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectiontobaru_yuta
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!典子 松本
 
OpenCV on mobile
OpenCV on mobileOpenCV on mobile
OpenCV on mobileDaisuke Yamashita
 
Jasst15 webjasst
Jasst15 webjasstJasst15 webjasst
Jasst15 webjasstKazuaki Matsuo
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう![MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!de:code 2017
 
Dynamic frameworks tips
Dynamic frameworks tipsDynamic frameworks tips
Dynamic frameworks tipsSyo Ikeda
 

More Related Content

What's hot

20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?Yukiya Hayashi
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)shingo inafuku
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeekstobaru_yuta
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!Takayuki Ushida
 
第8回脆弱性診断入門
第8回脆弱性診断入門第8回脆弱性診断入門
第8回脆弱性診断入門ionis111
 

What's hot (13)

20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeksMongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
 
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
 
第8回脆弱性診断入門
第8回脆弱性診断入門第8回脆弱性診断入門
第8回脆弱性診断入門
 

Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた

owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectiontobaru_yuta
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみたzaki4649
 
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!典子 松本
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう![MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!de:code 2017
 
Dynamic frameworks tips
Dynamic frameworks tipsDynamic frameworks tips
Dynamic frameworks tipsSyo Ikeda
 
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』R3 institute
 
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)Madoka Chiyoda
 
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成Isao Takaesu
 
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOWASP Nagoya
 
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP Nagoya
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方OWASP Nagoya
 
Application insights で行ってみよう
Application insights で行ってみようApplication insights で行ってみよう
Application insights で行ってみようKazushi Kamegawa
 
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティDev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティShoji Kawano
 
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jpKyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jpPacSecJP
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshareShinichiro Kawano
 
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事SIEMやログ監査で重要な事
SIEMやログ監査で重要な事hogehuga
 

Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた (20)

owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
 
OpenCV on mobile
OpenCV on mobileOpenCV on mobile
OpenCV on mobile
 
Jasst15 webjasst
Jasst15 webjasstJasst15 webjasst
Jasst15 webjasst
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう![MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
 
Dynamic frameworks tips
Dynamic frameworks tipsDynamic frameworks tips
Dynamic frameworks tips
 
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
 
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
 
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
 
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
 
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
Application insights で行ってみよう
Application insights で行ってみようApplication insights で行ってみよう
Application insights で行ってみよう
 
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティDev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
 
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jpKyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
 
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
 

Recently uploaded

生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料Takayuki Itoh
 
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2Tokyo Institute of Technology
 
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentationTokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentationYukiTerazawa
 
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学ssusere0a682
 
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学ssusere0a682
 
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024koheioishi1
 
UniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScriptUniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScriptyuitoakatsukijp
 

Recently uploaded (7)

生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
 
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
 
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentationTokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
 
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
 
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
 
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
 
UniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScriptUniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScript
 

OWASP Cheatsheetを参考にやられアプリ作ってみた

  • 2. OWASP Connect in Tokyo #2 2019.01.25 Who am I? >幸田将司 セキュリティエンジニア: - 脆弱性診断を主な業務にしています。 - たまにセキュリティ啓蒙活動とかも。 経歴: - 業界入ってからからずっとセキュリティ部門 - 現在はフリーランスとして活動中。 twitter: - @halkichisec
  • 3. OWASP Connect in Tokyo #2 2019.01.25 今回お話する内容 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 今回つくった環境
  • 4. OWASP Connect in Tokyo #2 2019.01.25 前回のOWASP Connect資料より https://owaspprteam.connpass.com/event/99292/ @とある診断員さんの資料
  • 5. OWASP Connect in Tokyo #2 2019.01.25 やられアプリとは
  • 6. OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 意図的に脆弱性を作り込んであるアプリケーションのこと • XSS • CSRF • SQLインジェクション • OSコマンドインジェクション...etc そんなもの何に使うの?
  • 7. OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 利用するメリット • 脆弱性の学習に (名前は知っているけど...どういう脆弱性か知らないやつとか) • スキャンツールを試せる (OWASP ZAPとかぶんまわせる) • 攻撃しても怒られない!
  • 8. OWASP Connect in Tokyo #2 2019.01.25 OWASP で公開されているアプリ OWASP BWA (The Broken Web Applications) 色々な脆弱性を盛り込んだ アプリ群 VMイメージ/ISOで配布 おすすめはbWAPP
  • 9. OWASP Connect in Tokyo #2 2019.01.25 OWASP で公開されているアプリ集 • OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ⇨PHP, Java率が高め
  • 10. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは
  • 11. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや • セキュリティにおけるチートシート。 • 実装の注意点、スタンダードを網羅している。 • 脆弱なコードのパターンや攻撃の文字列なども。 • セキュリティに興味があるエンジニアさんなら、検証の文字列をまず は自分のアプリケーションに片っ端から試してみるのも良いかも。
  • 12. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetがフォローしている項目
  • 13. OWASP Connect in Tokyo #2 2019.01.25 • Authentication 認証についてのスタンダード。 パスワード長は? メールアドレスの妥当性チェックは? • Input Validation 入力値はいつチェックする?どこまで見る? • Output Encoding 出力時のサニタイズとかとか...主にXSS。 • Cross Domain 外部ドメインからのリソース取得に関する注意事項。 • Logging ログに出力するべき物は何か。 • Uploads ファイルアップロードの注意事項。 OWASP CheatSheetがフォローしている項目 (機能ピックアップ)
  • 14. OWASP Connect in Tokyo #2 2019.01.25 • もちろん脆弱性ベースでも資料が用意されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど • 言語ベースもある(PHP, Java, Rubyなど) コード例が載っているのでより具体的!
  • 15. OWASP Connect in Tokyo #2 2019.01.25 今回つくったやられアプリで参考にしたもの • Ruby on Rails Cheatsheet RailsのGood/Badパターンのまとめ。 サンプルコードが多いので僕のようなコピペプログラマも安心。
  • 16. OWASP Connect in Tokyo #2 2019.01.25 今回つくったやられアプリ • Rails_Broken_App (Ruby on Rails)
  • 17. OWASP Connect in Tokyo #2 2019.01.25 • Rails_Broken_App https://github.com/halkichi0308/rails_broken_app • コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 • フォローした脆弱性 • XSS • SQL injection • Open Redirect • CSRF • セットアップ 3つコマンド叩くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 鋭意開発中
  • 18. OWASP Connect in Tokyo #2 2019.01.25 紹介したいところ • Dockerを使っているので起動が早い。(2回目以降) • ソースコードから脆弱性のある箇所が見える。 • 脆弱性を修正してすぐに確認できる! 脆弱性のあるコードと 対策されたコードを記載
  • 19. OWASP Connect in Tokyo #2 2019.01.25 デモ
  • 20. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetを使うメリット • セキュリティ対策の指標になる! まず何をすれば良い?どこまで対策すれば良い? • ユーザへの説明に利用できる! この脆弱性ならこの資料を参照して〜の様に • やられサイト作る時のアイデアがGETできる!
  • 21. OWASP Connect in Tokyo #2 2019.01.25 なんか難しそう...。でも大丈夫。 日本語に翻訳されている資料もありまぁす • OWASP CheatSheetSeries日本語版 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition • Ruby on Rails に関するチートシート(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
  • 22. OWASP Connect in Tokyo #2 2019.01.25 皆さんもやられアプリ挑戦してみてはいかがでしょうか?