「オワスプデイ in TOKYO 2016 Spring!!」の発表資料です。

1. OWASP Testing Guide からはじめよう
セキュリティ診断技術の共有、そして横展開

2. セキュリティテストの技術共有を
目的としたコミュニティをつくりたい

3. nishimunea (cv: Muneaki Nishimura)
Weekend Bug Hunter
Lecturer of Security Camp 2014-2015

4. きっかけは転職
攻撃する側 防御する側

5. 攻撃する側
防御する側
一つでも穴を見つければ勝ち
全ての攻撃を防がなければ負け
:
:

6. 体系的なセキュリティテストの
技術を身につけたい
診断士やバグハンターが集い
共に学ぶ場があると良いのでは！

7. 情報共有スペースを作りました
https://sec-testing.slack.com

8. 登録はこちら(Slackin)から
http://csrf.jp:3000

9. 熟練者だけでなく初心者も集える場に
（マサカリ禁止）

10. • このツールを使うと便利ですよ
• うちの会社ではこういったテストをやってますよ
• この脆弱性の攻撃コードって公開されてますか？
例えばこんな会話がしたい

11. ゆくゆくはこんな会話がしたい

12. LIMIT 1 UNION ALL SELECT User, Password
FROM mysql.user;
診断で困ってます。MySQLの複数行クエリ無効時に
以下のLIMIT句でSQLインジェクションは可能ですか？
SELECT title, content FROM posts
ORDER BY date DESC
LIMIT $INJECTION;
それなら、普通に UNION が使えませんか？

13. それが、直前に ORDER BY があるので
UNION は使えないんです。
LIMIT 1 PROCEDURE ANALYZE
(ExtractValue(1,concat(0x2c,user())),1) ;
だったら、PROCEDURE ANALYZEはどうでしょう？
で、できました！ありがとうございます！

14. 例えば OWASP Testing Guide を読んで
わからないことを質問してみよう

15. 99の技術領域をカバーしたテストガイド
（しかも無料）

16. • 情報収集 • 入力値検証
• コンフィグとデプロイの管理 • エラーハンドリング
• ID管理 • 弱い暗号
• 認証 • ビジネスロジック
• 認可 • クライアントテスト
• セッション管理

17. • information-gathering • injection-general
• config-and-deploy • error-handling
• identity-management • crypto
• authentication • business-logic
• authorization • new-features
• session-management • etc.
Slack の Channel は
OWASP Testing Guide v4 の目次に対応

18. 2014年9月リリース
古い記述や足りないテストケースもある

19. アップデートの予定はないのか
リーダーの Andrew Muller に聞いてみた

21. で、キミは何をコントリビュートできんの？
今年は2年に1度のアップデートの年！

22. • コミュニティで共有されたテスト情報は
OWASP Testing Project にフィードバック
• 次版のガイドに Reviewer として
名前が載るといいね！

23. 登録はこちら(Slackin)から
http://csrf.jp:3000