gree_tech, profile picture
Uploaded bygree_tech
PPTX, PDF299 views

サーバーフレームワークに潜んでる脆弱性検知ツール紹介

GREE Tech Conference 2021 で発表された資料です。 https://techcon.gree.jp/2021/session/ShortSession-3

Embed presentation

Download to read offline
サーバーフレームワークに 潜んでる脆弱性の検知 グリー シニアセキュリティエンジニア 徐(ソ) 承賢
• 国際CTF入賞経験 • 元LINEセキュリティ担当 • グリー2012入社 • 海外のセキュリティカンファレンスで登壇(たまに) • 最近ハマってること • solidity, geth, ganache, truffle • node.js, react, express セキュリティ部 / セキュリティ診断チーム 自己紹介 2
• メンバー • マネージャー含む3人 • やってること • プロダクト診断 • サーバーとクライアント • ホワイトボックス&ブラックボックス • 静的、動的解析 (ソースコードレビュー&バイナリー解析も含む) • セキュリティコンサル • 海賊版アプリの解析&対策 • 不正ユーザー検知 • セキュリティ用のサンプルコードやモジュール提供 • 社内インシデント対応 セキュリティ診断チームの紹介 3
• 技術早い進化 • 特に言語やサーバーフレームワーク • 2012年 only php, ethna • 2021年 fuelphp, symfony, sliex, laravel, cakephp, django, rails, flask, golang, typescrypt, nodejs… いっぱいある • グリーの自由な開発環境と雰囲気 • セキュリティ的にはかなり辛い • 毎回診断の時はチャレンジ状態 https://github.com/truefinder/tonbi TONBIの開発経緯 4
• サーバーフレームワークの脆弱性検知ツール • ソースコード内で脆弱性の恐れがあるところを指摘 • python & yara(セキュリティ業界のパターンマッチングライブラリー) • 技術の早い進化に対応 • 現在言語5個&フレームワーク7個&ビュー5個 • laravel, codeigniter, django, flask, gorilla, ethna, nodejs • go, php, javascript, python, typescript • smarty, twig, blade, flexy, electron • グリーのような自由な開発環境で活躍 • セキュリティレビューの工数を減らせる • 大型プロダクトで、実際約90%くらい手間が省けた • 勘違いして欲しくないこと • 脆弱性の可能性を指摘=指摘されたところが100%脆弱性ではない • 脆弱性判定まで人の目を通して、コードを追っかける必要はある TONBIとは 5
• CLI • オプション • -d ソースコードのディレクトリー • -f フレームワーク • -l 言語 • -v ビュー TONBIの使い方 #1 6 $python tonbi.py -d ./src -f laravel -l php -v blade
• configファイル設定 TONBIの使い方 #2 7 { "source_directory" : "../sample/codeigniter/src", "framework_name" : "codeigniter", "language" : "php", "view_name" : "twig", "head_count" : 5, "tail_count" : 5, "output" : "output.txt", "plugins" : [ ], "ignore_files" : [ "jpg", "png", "jpeg", "ico", "gif", "tif" , "tiff" ], "ignore_dirs" : ["node_modules"], "exclude" : ["ssl_misconfiguration"] } $python tonbi.py -c config.json
• 検知パータン • yaraルール • 正規表現が使える • and/or/anyなど組み合わせ • セキュリティチームで作成 TONBIの検知パータン 8 rule sql_injection : codeigniter { strings : $sql1 = /$this->db->(query|simple_query)¥(/ condition : any of them } rule directory : codeigniter { strings : $dir1 = "sanitize_filename(" $false = /.*:.*false/ nocase condition : $dir1 and $false } framework/codeigniter.yar中から抜粋
• 検知結果 TONBIの結果画面 #1 9
TONBIの結果画面 #2 10
• 言語解析で正確さを追求 • 各言語パーサーを使って正確性を高める • 検知したところを追っかける機能を追加する • GUIを提供 • Webで見れるようなGUIを提供する • 結果がCI/CDと連携 • Git方に飛べる 今後の課題 11
ご清聴ありがとうございました 12
13

More Related Content

ODP
TDD for Embedded C -5章-
byYudai Hashimoto
 
PDF
JaSST nano vol.7 「なぜペアワイズテストを使いこなせないのか」
byTouyou Horikawa
 
PDF
アジャイルクオリティの探求
byatsushi nagata
 
PDF
ザ・ジェネラリスト #5000dai
bykyon mm
 
PDF
20150529 ja sst15東北基調講演web公開用
byAdachi Kenji
 
PDF
レビュー目的・観点設定の効果と課題
byAdachi Kenji
 
PDF
#STAC2014 システムテスト自動化ハンズオン
bykyon mm
 
PDF
Sta introduction in_kyoto #devkan
bykyon mm
 
TDD for Embedded C -5章-
byYudai Hashimoto
 
JaSST nano vol.7 「なぜペアワイズテストを使いこなせないのか」
byTouyou Horikawa
 
アジャイルクオリティの探求
byatsushi nagata
 
ザ・ジェネラリスト #5000dai
bykyon mm
 
20150529 ja sst15東北基調講演web公開用
byAdachi Kenji
 
レビュー目的・観点設定の効果と課題
byAdachi Kenji
 
#STAC2014 システムテスト自動化ハンズオン
bykyon mm
 
Sta introduction in_kyoto #devkan
bykyon mm
 

What's hot

PDF
Kaizen process with test #hackt
bykyon mm
 
PDF
Agile RCA Presentation
byAtsushi Nagata
 
PPTX
How to let them in house of quality
byTakahiro Toku
 
PPTX
テストスキルを測ってみよう
byAkira Ikeda
 
PPTX
WebサービスのソフトウェアQAと自動テスト戦略
byMasaki Nakagawa
 
PDF
テストとリファクタリングに関する深い方法論 #wewlc_jp
bykyon mm
 
PDF
テストエンジニアの品格 #automatornight
bykyon mm
 
PPTX
事例からわかる!テスト自動化導入パターン
by友隆 浅黄
 
PDF
なんたって”DevQA” アジャイル開発とQAの合体が改善を生む - 永田 敦 氏 #postudy
byPOStudy
 
PDF
テストファースト、自動テストを導入するという事について(@社内勉強会)
bykyon mm
 
PPTX
【SQiP2016】楽天のアジャイル開発とメトリクス事例
byKotaro Ogino
 
PDF
20151021 cookpad talk_test_engineer
byKazuaki Matsuo
 
PDF
STAC2015 講演3 広告システム刷新よもやま話〜テストが当たり前となるまでにやったこと #stac2015
byYahoo!デベロッパーネットワーク
 
PDF
DMMアカウントサービス フロントエンド改善支援のためのTestcafeを用いた自動e2eテストの刷新
bytomohiro odan
 
PDF
#STAC2014 状態遷移を活用した自動テストのテスト戦略とデプロイメントパイプライン
bykyon mm
 
PDF
テストの視点を活用した TDD アプローチの検討とその検証
byAkira Ikeda
 
PDF
JaSST nano vol.1 "映え”を評価する~UXテストの取り組みなの
byTouyou Horikawa
 
PDF
system testing in Scrum
byNoriyuki Nemoto
 
PPTX
僕らのおれおれメトリクス / We Metrics Our Own Way!
byYasui Tsutomu
 
PPTX
「トピックモデル」を使った「バグチケットの自動タグ付け」
byKoichi Tanizaki
 
Kaizen process with test #hackt
bykyon mm
 
Agile RCA Presentation
byAtsushi Nagata
 
How to let them in house of quality
byTakahiro Toku
 
テストスキルを測ってみよう
byAkira Ikeda
 
WebサービスのソフトウェアQAと自動テスト戦略
byMasaki Nakagawa
 
テストとリファクタリングに関する深い方法論 #wewlc_jp
bykyon mm
 
テストエンジニアの品格 #automatornight
bykyon mm
 
事例からわかる!テスト自動化導入パターン
by友隆 浅黄
 
なんたって”DevQA” アジャイル開発とQAの合体が改善を生む - 永田 敦 氏 #postudy
byPOStudy
 
テストファースト、自動テストを導入するという事について(@社内勉強会)
bykyon mm
 
【SQiP2016】楽天のアジャイル開発とメトリクス事例
byKotaro Ogino
 
20151021 cookpad talk_test_engineer
byKazuaki Matsuo
 
STAC2015 講演3 広告システム刷新よもやま話〜テストが当たり前となるまでにやったこと #stac2015
byYahoo!デベロッパーネットワーク
 
DMMアカウントサービス フロントエンド改善支援のためのTestcafeを用いた自動e2eテストの刷新
bytomohiro odan
 
#STAC2014 状態遷移を活用した自動テストのテスト戦略とデプロイメントパイプライン
bykyon mm
 
テストの視点を活用した TDD アプローチの検討とその検証
byAkira Ikeda
 
JaSST nano vol.1 "映え”を評価する~UXテストの取り組みなの
byTouyou Horikawa
 
system testing in Scrum
byNoriyuki Nemoto
 
僕らのおれおれメトリクス / We Metrics Our Own Way!
byYasui Tsutomu
 
「トピックモデル」を使った「バグチケットの自動タグ付け」
byKoichi Tanizaki
 

Similar to サーバーフレームワークに潜んでる脆弱性検知ツール紹介

PDF
JavaScript 実践講座 Framework, Tool, Performance
byクラスメソッド株式会社
 
PDF
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
PDF
「フレームワークを使っていれば 脆弱性は出ない」って本当?
bythatblue
 
PDF
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
PDF
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
byCODE BLUE
 
PDF
とある診断員と色々厄介な脆弱性達
byzaki4649
 
PPT
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
PPTX
XXE、SSRF、安全でないデシリアライゼーション入門
byHiroshi Tokumaru
 
PPTX
Css2014 ruo ando_2014-10-23-01
byRuo Ando
 
PPTX
OSC 2021 Osaka IT運用自律化を支援する「運用レコメンドプラットフォーム」においてKeycloakを用いて認証を実装した話
byTakuya Naito
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PPTX
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
PDF
Typesafe Reactive Platformで作るReactive System入門
byTIS Inc.
 
PDF
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
byHiroh Satoh
 
PDF
Fighting advanced malware using machine learning (Japanese)
byFFRI, Inc.
 
PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PPTX
Security-JAWS【第37回】 勉強会 2025年5月26日(月) - GitLab.pptx
byTsukasaKomatsubara
 
PDF
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
byOWASP Kansai
 
PDF
OSC 2020 Fukuoka IT運用自動化を支援する「運用レコメンドプラットフォーム」実現の舞台裏
byDaisuke Ikeda
 
JavaScript 実践講座 Framework, Tool, Performance
byクラスメソッド株式会社
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
「フレームワークを使っていれば 脆弱性は出ない」って本当?
bythatblue
 
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
[CB17] Trueseeing: Effective Dataflow Analysis over Dalvik Opcodes
byCODE BLUE
 
とある診断員と色々厄介な脆弱性達
byzaki4649
 
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
XXE、SSRF、安全でないデシリアライゼーション入門
byHiroshi Tokumaru
 
Css2014 ruo ando_2014-10-23-01
byRuo Ando
 
OSC 2021 Osaka IT運用自律化を支援する「運用レコメンドプラットフォーム」においてKeycloakを用いて認証を実装した話
byTakuya Naito
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
Typesafe Reactive Platformで作るReactive System入門
byTIS Inc.
 
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
byHiroh Satoh
 
Fighting advanced malware using machine learning (Japanese)
byFFRI, Inc.
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
Security-JAWS【第37回】 勉強会 2025年5月26日(月) - GitLab.pptx
byTsukasaKomatsubara
 
「最近のwebアプリケーションの脆弱性やそれを悪用する攻撃の動向」OWASP Kansai
byOWASP Kansai
 
OSC 2020 Fukuoka IT運用自動化を支援する「運用レコメンドプラットフォーム」実現の舞台裏
byDaisuke Ikeda
 

More from gree_tech

PPTX
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
bygree_tech
 
PDF
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
bygree_tech
 
PPTX
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
bygree_tech
 
PPTX
アプリ起動時間高速化 ~推測するな、計測せよ~
bygree_tech
 
PPTX
長寿なゲーム事業におけるアプリビルドの効率化
bygree_tech
 
PPTX
Cloud Spanner をより便利にする運用支援ツールの紹介
bygree_tech
 
PPTX
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
bygree_tech
 
PPTX
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
bygree_tech
 
PPTX
海外展開と負荷試験
bygree_tech
 
PPTX
翻訳QAでのテスト自動化の取り組み
bygree_tech
 
PPTX
組み込み開発のテストとゲーム開発のテストの違い
bygree_tech
 
PPTX
データエンジニアとアナリストチーム兼務になった件について
bygree_tech
 
PPTX
シェアドサービスとしてのデータテクノロジー
bygree_tech
 
PPTX
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
bygree_tech
 
PPTX
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
bygree_tech
 
PPTX
比較サイトの検索改善(SPA から SSR に変換)
bygree_tech
 
PPTX
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
bygree_tech
 
PPTX
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
bygree_tech
 
PPTX
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
bygree_tech
 
PPTX
基調講演 -グリーが目指すエンジニアのあり方、チームのあり方-
bygree_tech
 
アナザーエデンPC版リリースへの道のり 〜WFSにおけるマルチプラットフォーム対応の取り組み〜
bygree_tech
 
GREE VR Studio Laboratory「XR-UX Devプロジェクト」の成果紹介
bygree_tech
 
REALITYアバターを様々なメタバースで活躍させてみた - GREE VR Studio Laboratory インターン研究成果発表
bygree_tech
 
アプリ起動時間高速化 ~推測するな、計測せよ~
bygree_tech
 
長寿なゲーム事業におけるアプリビルドの効率化
bygree_tech
 
Cloud Spanner をより便利にする運用支援ツールの紹介
bygree_tech
 
WFSにおけるCloud SpannerとGKEを中心としたGCP導入事例の紹介
bygree_tech
 
SINoALICE -シノアリス- Google Cloud Firestoreを用いた観戦機能の実現について
bygree_tech
 
海外展開と負荷試験
bygree_tech
 
翻訳QAでのテスト自動化の取り組み
bygree_tech
 
組み込み開発のテストとゲーム開発のテストの違い
bygree_tech
 
データエンジニアとアナリストチーム兼務になった件について
bygree_tech
 
シェアドサービスとしてのデータテクノロジー
bygree_tech
 
「ドキュメント見つからない問題」をなんとかしたい - 横断検索エンジン導入の取り組みについて-
bygree_tech
 
「Atomic Design × Nuxt.js」コンポーネント毎に責務の範囲を明確にしたら幸せになった話
bygree_tech
 
比較サイトの検索改善(SPA から SSR に変換)
bygree_tech
 
コードの自動修正によって実現する、機能開発を止めないフレームワーク移行
bygree_tech
 
「やんちゃ、足りてる?」〜ヤンマガWebで挑戦を続ける新入りエンジニア〜
bygree_tech
 
法人向けメタバースプラットフォームの開発の裏側をのぞいてみた(仮)
bygree_tech
 
基調講演 -グリーが目指すエンジニアのあり方、チームのあり方-
bygree_tech
 

サーバーフレームワークに潜んでる脆弱性検知ツール紹介