Submit Search
Upload
OWASP Cheatsheetを参考にやられアプリ作ってみた
•
Download as PPTX, PDF
•
2 likes
•
1,379 views
M
mkoda
Follow
OWASP Connect in Tokyo #2 で利用した資料です。
Read less
Read more
Education
Report
Share
Report
Share
1 of 22
Download now
Recommended
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
Stackoverflow Dev Days 2015 in Tokyoのスピーチ 「ビルトイン・セキュリティのススメ」
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2/29 29Sec LT 資料
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
教養としてのサイバーセキュリティ導入講義 サイバースペースで起きていること
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について
oshiro_seiya
PHPカンファレンス沖縄2021の資料です
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
企業のデジタル変革とサイバーリスク 株式会社アスタリスク・リサーチ 代表取締役 岡田 良太郎 KIIS セミナーあなたの会社の「テレワーク」は大丈夫? デジタルトランスフォーメーション(DX) 実現に向けたサイバーセキュリティ対策 2020.09.25(金) 14:30- https://secure.kiis.or.jp/cybersecurity/200925seminar/
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
IoTxHealthcare Hackathon Pre-eventにて公開した講演資料。
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
Tatsuya Yamamoto
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
OWASP Top 10 超初級編
OWASP Top 10 超初級編
AkitadaOmagari
OWASP Top 10をセキュリティ初心者向きにまとめています 発表場所(#hiro_it) https://hiro-it.connpass.com/
Recommended
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
Stackoverflow Dev Days 2015 in Tokyoのスピーチ 「ビルトイン・セキュリティのススメ」
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
2/29 29Sec LT 資料
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
教養としてのサイバーセキュリティ導入講義 サイバースペースで起きていること
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について
oshiro_seiya
PHPカンファレンス沖縄2021の資料です
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
企業のデジタル変革とサイバーリスク 株式会社アスタリスク・リサーチ 代表取締役 岡田 良太郎 KIIS セミナーあなたの会社の「テレワーク」は大丈夫? デジタルトランスフォーメーション(DX) 実現に向けたサイバーセキュリティ対策 2020.09.25(金) 14:30- https://secure.kiis.or.jp/cybersecurity/200925seminar/
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
IoTxHealthcare Hackathon Pre-eventにて公開した講演資料。
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
Tatsuya Yamamoto
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
OWASP Top 10 超初級編
OWASP Top 10 超初級編
AkitadaOmagari
OWASP Top 10をセキュリティ初心者向きにまとめています 発表場所(#hiro_it) https://hiro-it.connpass.com/
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
脆弱性検査に加え、CI(継続的インテグレーション)によるソフトウェア品質の「変数」を見るアプローチが普及してきました。しかし、可視化された問題は開発に活かされているでしょうか。アプリケーションの価値に貢献するには何が必要でしょうか。現状の問題をとりあげながら、解決への必須要件を考えます。
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
2019-03-16にOisix ra daichi incで開催されたクローズドのRPA勉強会のLTで発表した内容です。 オイラ大地で利用しているモニタリングツールを一挙に紹介いたしました。
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
2019/04/18 ssmjpで登壇した資料です。 「ウォーターフォールとアジャイルにおける組織内リリース承認フローの考え方について相談」
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
20210716 Umekitaforceでのスライドです。
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
セキュリティ・キャンプ全国大会2015の講義「バグハンティング入門」で使用したスライドです。
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
OWASP Evening Okinawa #6で登壇した際のスライドです。
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
UCHINA IT Free者達’s 第2回ライトニングトーク大会
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20191013 JAWS-UG広島で話しました。サーバーレスセキュリティの内容をグリム童話「狼と七匹の子山羊」をベースにお話させてもらいました。
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
下記について記載。 OSコマンドインジェクション ローカルストレージへの機密情報の保持
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
MongoDBの脆弱性診断
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
とっとるびー第8回
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
OWASP Evening Okinawa #7 登壇資料。 OWASP Top 10 - 2017 について学ぼう!(A1:2017-インジェクション)
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
典子 松本
2018/09/25に北九州で開催された「Code for Kitakyushu例会」の発表資料です。Azure Logic Apps、QnA Maker、LINE Messaging APIを利用してノンコーディングでLINE BOTを作成する方法を紹介しています。
OpenCV on mobile
OpenCV on mobile
Daisuke Yamashita
OpenCV on Mobile
Jasst15 webjasst
Jasst15 webjasst
Kazuaki Matsuo
This slide used in JaSST 15 Tokyo
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
2016年4月7日(木)に実施したセミナーの資料です。 何か突っ込みどころがございましたら、お手数ですがお知らせいただけると嬉しいですm(_ _)m 第34回セミナーのテーマは「診断対象の見積りについて」です。
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
関西のセキュリティとグローバル 改め 「シフトレフトなんやで!」
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
de:code 2017
こんにちは。Visual Studio と C# が好き過ぎて昨年 Microsoft に転職してきた、元モバイル アプリ開発者の千代田まどか (ちょまど) です。Xamarin で iOS/Android アプリ開発をしていました。 このセッションでは、Xamarin 概要を、Mobile DevOps 観点も含めながら、広く、俯瞰的な視点から包括的に解説いたします。難易度としては初心者向けですが、知識の再確認や最新のアップデートを確認したい中級者の方にもオススメです。 キーワード [Xamarin/Test Cloud/Visual Studio Mobile Center/C#/Visual Studio/iOS/Android] 受講対象: モバイル アプリ開発に興味のある方 製品/テクノロジ: AI (人工知能)/iOS/Android/Visual Studio/Xamarin 千代田まどか (ちょまど) 日本マイクロソフト株式会社 デベロッパー エバンジェリズム統括本部 テクニカル エバンジェリスト
Dynamic frameworks tips
Dynamic frameworks tips
Syo Ikeda
関西モバイルアプリ研究会 #9での発表スライドです。
More Related Content
What's hot
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
StudyCode #3 での発表資料です。(Slideshareにアップして、文字や図がずれてしまっているのはご勘弁を。)
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
脆弱性検査に加え、CI(継続的インテグレーション)によるソフトウェア品質の「変数」を見るアプローチが普及してきました。しかし、可視化された問題は開発に活かされているでしょうか。アプリケーションの価値に貢献するには何が必要でしょうか。現状の問題をとりあげながら、解決への必須要件を考えます。
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
2019-03-16にOisix ra daichi incで開催されたクローズドのRPA勉強会のLTで発表した内容です。 オイラ大地で利用しているモニタリングツールを一挙に紹介いたしました。
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
2019/04/18 ssmjpで登壇した資料です。 「ウォーターフォールとアジャイルにおける組織内リリース承認フローの考え方について相談」
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
20210716 Umekitaforceでのスライドです。
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
セキュリティ・キャンプ全国大会2015の講義「バグハンティング入門」で使用したスライドです。
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
OWASP Evening Okinawa #6で登壇した際のスライドです。
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
UCHINA IT Free者達’s 第2回ライトニングトーク大会
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
20191013 JAWS-UG広島で話しました。サーバーレスセキュリティの内容をグリム童話「狼と七匹の子山羊」をベースにお話させてもらいました。
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
下記について記載。 OSコマンドインジェクション ローカルストレージへの機密情報の保持
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
MongoDBの脆弱性診断
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第2回 セキュリティ共有勉強会(https://intra-security.connpass.com/event/47638/)の資料です。
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
とっとるびー第8回
What's hot
(13)
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
第8回脆弱性診断入門
第8回脆弱性診断入門
Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
OWASP Evening Okinawa #7 登壇資料。 OWASP Top 10 - 2017 について学ぼう!(A1:2017-インジェクション)
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
9/21に開催したOWASP Connect in Tokyoにて登壇した時の資料です。
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
典子 松本
2018/09/25に北九州で開催された「Code for Kitakyushu例会」の発表資料です。Azure Logic Apps、QnA Maker、LINE Messaging APIを利用してノンコーディングでLINE BOTを作成する方法を紹介しています。
OpenCV on mobile
OpenCV on mobile
Daisuke Yamashita
OpenCV on Mobile
Jasst15 webjasst
Jasst15 webjasst
Kazuaki Matsuo
This slide used in JaSST 15 Tokyo
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
2016年4月7日(木)に実施したセミナーの資料です。 何か突っ込みどころがございましたら、お手数ですがお知らせいただけると嬉しいですm(_ _)m 第34回セミナーのテーマは「診断対象の見積りについて」です。
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
関西のセキュリティとグローバル 改め 「シフトレフトなんやで!」
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
de:code 2017
こんにちは。Visual Studio と C# が好き過ぎて昨年 Microsoft に転職してきた、元モバイル アプリ開発者の千代田まどか (ちょまど) です。Xamarin で iOS/Android アプリ開発をしていました。 このセッションでは、Xamarin 概要を、Mobile DevOps 観点も含めながら、広く、俯瞰的な視点から包括的に解説いたします。難易度としては初心者向けですが、知識の再確認や最新のアップデートを確認したい中級者の方にもオススメです。 キーワード [Xamarin/Test Cloud/Visual Studio Mobile Center/C#/Visual Studio/iOS/Android] 受講対象: モバイル アプリ開発に興味のある方 製品/テクノロジ: AI (人工知能)/iOS/Android/Visual Studio/Xamarin 千代田まどか (ちょまど) 日本マイクロソフト株式会社 デベロッパー エバンジェリズム統括本部 テクニカル エバンジェリスト
Dynamic frameworks tips
Dynamic frameworks tips
Syo Ikeda
関西モバイルアプリ研究会 #9での発表スライドです。
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
R3 institute
2016年5月27日(金)に開催された kintone devCamp 2016 Spring の gusuku ハンズオン資料です。 #kintone #kintonedevcamp #r3gusuku 【gusuku(グスク)】 kintoneアプリケーションの利用・開発・運用を強力にサポートするプラットフォームです。 https://gusuku.io/
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Madoka Chiyoda
2020/11/20(金) に Azure Base Kobe で登壇した内容です
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Isao Takaesu
Machine Learning 15 minutes! #16
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya
OWASP TOP10 2017 A4からXXEを学ぶ 2019.11.15 OWASP Nagoya#14
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
2022/04/15 OWASP Nagoya Chapter ミーティング 第25回 A01:2021 – アクセス制御の不備
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
20180601 OWASP Nagoya Chapter ミーティング 第5回 OWASP Top 10 2017の読み方
Application insights で行ってみよう
Application insights で行ってみよう
Kazushi Kamegawa
Introduce Application Insights Preview.
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
PacSec2016
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
Alibaba Cloud Developers Meetup #13 - AliEaters LT Presentation
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
SIEMやログ監査で重要な事 -導入時に気をつける事 OWASP Kansai Local Chapter
Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた
(20)
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
最近のやられアプリを試してみた
最近のやられアプリを試してみた
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
OpenCV on mobile
OpenCV on mobile
Jasst15 webjasst
Jasst15 webjasst
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
Dynamic frameworks tips
Dynamic frameworks tips
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
Application insights で行ってみよう
Application insights で行ってみよう
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
OWASP Cheatsheetを参考にやられアプリ作ってみた
1.
OWASP Cheatsheet を参考にやられアプリ 作ってみた @halkichisec OWASP Connect
in Tokyo#2 2019.01.25
2.
OWASP Connect in
Tokyo #2 2019.01.25 Who am I? >幸田将司 セキュリティエンジニア: - 脆弱性診断を主な業務にしています。 - たまにセキュリティ啓蒙活動とかも。 経歴: - 業界入ってからからずっとセキュリティ部門 - 現在はフリーランスとして活動中。 twitter: - @halkichisec
3.
OWASP Connect in
Tokyo #2 2019.01.25 今回お話する内容 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 今回つくった環境
4.
OWASP Connect in
Tokyo #2 2019.01.25 前回のOWASP Connect資料より https://owaspprteam.connpass.com/event/99292/ @とある診断員さんの資料
5.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリとは
6.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリ(サイト)とは 意図的に脆弱性を作り込んであるアプリケーションのこと • XSS • CSRF • SQLインジェクション • OSコマンドインジェクション...etc そんなもの何に使うの?
7.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリ(サイト)とは 利用するメリット • 脆弱性の学習に (名前は知っているけど...どういう脆弱性か知らないやつとか) • スキャンツールを試せる (OWASP ZAPとかぶんまわせる) • 攻撃しても怒られない!
8.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP で公開されているアプリ OWASP BWA (The Broken Web Applications) 色々な脆弱性を盛り込んだ アプリ群 VMイメージ/ISOで配布 おすすめはbWAPP
9.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP で公開されているアプリ集 • OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ⇨PHP, Java率が高め
10.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetとは
11.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや • セキュリティにおけるチートシート。 • 実装の注意点、スタンダードを網羅している。 • 脆弱なコードのパターンや攻撃の文字列なども。 • セキュリティに興味があるエンジニアさんなら、検証の文字列をまず は自分のアプリケーションに片っ端から試してみるのも良いかも。
12.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetがフォローしている項目
13.
OWASP Connect in
Tokyo #2 2019.01.25 • Authentication 認証についてのスタンダード。 パスワード長は? メールアドレスの妥当性チェックは? • Input Validation 入力値はいつチェックする?どこまで見る? • Output Encoding 出力時のサニタイズとかとか...主にXSS。 • Cross Domain 外部ドメインからのリソース取得に関する注意事項。 • Logging ログに出力するべき物は何か。 • Uploads ファイルアップロードの注意事項。 OWASP CheatSheetがフォローしている項目 (機能ピックアップ)
14.
OWASP Connect in
Tokyo #2 2019.01.25 • もちろん脆弱性ベースでも資料が用意されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど • 言語ベースもある(PHP, Java, Rubyなど) コード例が載っているのでより具体的!
15.
OWASP Connect in
Tokyo #2 2019.01.25 今回つくったやられアプリで参考にしたもの • Ruby on Rails Cheatsheet RailsのGood/Badパターンのまとめ。 サンプルコードが多いので僕のようなコピペプログラマも安心。
16.
OWASP Connect in
Tokyo #2 2019.01.25 今回つくったやられアプリ • Rails_Broken_App (Ruby on Rails)
17.
OWASP Connect in
Tokyo #2 2019.01.25 • Rails_Broken_App https://github.com/halkichi0308/rails_broken_app • コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 • フォローした脆弱性 • XSS • SQL injection • Open Redirect • CSRF • セットアップ 3つコマンド叩くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 鋭意開発中
18.
OWASP Connect in
Tokyo #2 2019.01.25 紹介したいところ • Dockerを使っているので起動が早い。(2回目以降) • ソースコードから脆弱性のある箇所が見える。 • 脆弱性を修正してすぐに確認できる! 脆弱性のあるコードと 対策されたコードを記載
19.
OWASP Connect in
Tokyo #2 2019.01.25 デモ
20.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetを使うメリット • セキュリティ対策の指標になる! まず何をすれば良い?どこまで対策すれば良い? • ユーザへの説明に利用できる! この脆弱性ならこの資料を参照して〜の様に • やられサイト作る時のアイデアがGETできる!
21.
OWASP Connect in
Tokyo #2 2019.01.25 なんか難しそう...。でも大丈夫。 日本語に翻訳されている資料もありまぁす • OWASP CheatSheetSeries日本語版 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition • Ruby on Rails に関するチートシート(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
22.
OWASP Connect in
Tokyo #2 2019.01.25 皆さんもやられアプリ挑戦してみてはいかがでしょうか?
Download now