Recommended
Recommended
More Related Content
Featured
Featured (20)
20170111 lt
- 1. アプリ脆弱性関連話
- 2. はじめに 明らかに修正すべき。という脆弱性がほとんどですが、 脆弱性として指摘されたから必ず修正しなければいけないという訳でもない場合もある 修正することで利便性が落ちたりするケースもあるので、修正する・しないの判断は 顧客含めよく検討し修正・・ ここでは、OWASP関連での話と私の実務経験でよくあるなーというところを紐付けお話しを OWASPとは・・・ Open Web Application Security Project(OWASP)は、安全なソフ トウェアの設計・開発・習 得・運用と維持に関する活動を支援する、 非営利の団体です。OWASPのツールやドキュメ ントなど、すべての 成果物は無料で利用できます。各国で活動しているチャプターは、 アプ リケーションセキュリティをより良いものにすることに関心を お持ちの方であれば、誰でも参 加できます Wiki https://www.owasp.org/index.php/Main_Page
- 3. OWASP TOP10 # 内容 1 SQLインジェクション 2 認証とセッション管理の不備 3 XSS(クロスサイトスクリプティング) 4 安全でないオブジェクト直接参照 5 セキュリティ設定のミス 6 機密データの露出 7 機能レベルアクセス制御の欠落 8 CSRF(クロスサイトリクエストフォージェリ) 9 既知の脆弱性を持つコンポーネントの使用 10 未検証のリダイレクトとフォーワード
- 4. 認証とセッション管理の不備 以下該当する場合に脆弱・・・ 1 ハッシュや暗号化を使用して保存する際適切に保護をしていない。 → 強度の低いハッシュ(MD5、SHA-1)を用いている、平文で秘密情報をDB保存 2 アカウント作成、パスワード変更やリセット、アカウントロック、弱いアカウント 管理機能を通じて認証情報が確認や上書きできる。 → メアド到達確認をせずアカウントが作れる。 第三者にてアカウントロックができてしまう。 パスワード変更やリセットが権限の低い管理者で実施ができてしまう。 3 URLリライトなど、URLでのセッションID表示。 4 ログイン成功後、セッションIDは再生成されない。 セッション固定化攻撃に脆弱 → フレームワーク次第では起こりうるので注意 5 セッションIDはタイムアウトしない。或いは、ログアウトする際、ユーザセッション、 認証トークン、特にシングルサインオン(SSO)トークンなどが無効化されない。 → セッションタイムアウトが長すぎる 6 パスワード、セッションIDなどの認証情報は暗号化されていないコネクションで送信される。 → autocomplete=off, Secure属性が付いていないCookieでの秘密情報運用。
- 6. セキュリティ設定のミス よくあるのが・・・ 1 全てのソフトウェアが更新されていますか?これには、 OS、ウェブ/アプリケーションサーバ、 DBMS、アプリケーション、および全てのコードライブラリを含みます(新A9を 参照して下さい)。 2 不要な機能(例えば、ポート、サービス、画面、アカウント、 権限)がインストールされ、有効にされていませんか? 3 デフォルトアカウントとそのパスワードがそのまま有効に されていませんか? 4 エラー処理は、スタックトレースや他の不必要な情報を 含むエラーメッセージをユーザに表示していませんか? 5 開発フレームワーク(例えば、Struts、Spring、ASP.NET)や ライブラリのセキュリティ設定をしていますか? Zabbixのデフォルトスーパーユーザである、ユーザ名:Admin パスワード:zabbix がそのまま生きている デフォルトでFTPサーバ機能が入っていてanonymousユーザでのログイン許可されちゃっている ディレクトリリストがデフォルトON (Apache)になっており、そのまま利用している。<尚、NginxはデフォOFF>
- 9. Thanks!