ichikaway, profile picture
Uploaded byichikaway
PDF, PPTX6,707 views

VAddy - CI勉強会 fukuoka

CI勉強会福岡でのVAddy発表資料

Embed presentation

Download as PDF, PPTX
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト! VAddy 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト   市川
Copyright  (c)    Bitforest  Co.,  Ltd.   自己紹介 • @cakephper / @ichikaway • Fukuoka.php勉強会主催 • PHPカンファレンス福岡主催 2
Copyright  (c)    Bitforest  Co.,  Ltd.   重要 3 PHPカンファレンス 福岡 2015/6/27(土)
Copyright  (c)    Bitforest  Co.,  Ltd.   重要 4 CIと連携して セキュリティテストを 実現するサービス
Copyright  (c)    Bitforest  Co.,  Ltd.   テストの普及 • 不具合の検出   • 再発防止   • リファクタリング・アップデート 5
Copyright  (c)    Bitforest  Co.,  Ltd.   忘れがちなテスト • セキュリティテスト   • 今回はWebの脆弱性検査の話   • パフォーマンステスト   • loader.ioなど 6
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテストの重要性 • 情報漏洩   • 改竄、マルウェアの配布   • 他サイトへのリスト型攻撃に悪用 7 損害賠償、2次被害など影響が大きい
Copyright  (c)    Bitforest  Co.,  Ltd.   8 セキュリティテスト   必須の時代に
Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  brakeman)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 9
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 10 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
Copyright  (c)    Bitforest  Co.,  Ltd.   11 理想的には   開発初期から   リリース後まで
Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 15 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • 設定項目が多くノウハウを貯める必要   • 環境構築・運用コスト   • CIのフローに乗せるのが大変 16
Copyright  (c)    Bitforest  Co.,  Ltd.   17 継続的   セキュリティテストを   簡単に実現する   サービスが必要
Copyright  (c)    Bitforest  Co.,  Ltd.   18 CIサイクルに組込めて     簡単に導入でき   運用が不要なサービス
Copyright  (c)    Bitforest  Co.,  Ltd.   19 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • ブラックボックスのWeb脆弱性診断   • インストール不要   • CI連携を前提に設計   • WebAPI連携   • 無人の運用が必須 20
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • セキュリティ検査エンジンを独自開発   • ユーザが行う設定作業を最小限に   • 機械学習の機能を持ったエンジン   • 無人でもうまく動くツール   • 常にアップデート 21
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • セキュリティエキスパートが開発・運用   • 国内No.1のSaaS型WAF  Scutumの開発運用を6 年行っているチーム   • http://scutum.jp 22
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/3 現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • Rubyクライアント提供中   • CircleCIなどに対応 23
Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 24
Copyright  (c)    Bitforest  Co.,  Ltd.   Jenkins VAddyプラグイン提供中 25 https://wiki.jenkins-­‐ci.org/display/JENKINS/VAddy+Plugin
Copyright  (c)    Bitforest  Co.,  Ltd.   HipChat通知 26
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのミッション 27 継続的   セキュリティテスト   文化の普及
Copyright  (c)    Bitforest  Co.,  Ltd.   28 継続的な   セキュリティテストで   安心してリリースすることが   今後のトレンドになる
Copyright  (c)    Bitforest  Co.,  Ltd.   29 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) デモ
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの操作 3ステップ • STEP1    テスト対象サーバ登録   • authファイルの設置   • STEP2    検査対象のクロール   • Webアプリケーションの画面操作   • STEP3    スキャン実行(画面  /  WebAPI)   • 結果参照 30
Copyright  (c)    Bitforest  Co.,  Ltd.   クロールとは? 31
Copyright  (c)    Bitforest  Co.,  Ltd.   クロールとは? 32 アプリケーションの 操作記録を保存   (URL、パラメータ、 ログイン情報など) ブラウザのProxy設 定にてVAddy  Proxy をセットし、Web アプリケーション を操作
Copyright  (c)    Bitforest  Co.,  Ltd.   何故手動クロールが必要か? • 自動クロールの限界   • 時間がかかる   • リンク切れURL   • 認証画面情報   • アプリケーション特有の動作 33
Copyright  (c)    Bitforest  Co.,  Ltd.   • 検査対象のアプリを一番良く知っている人   • お客様(開発者、テスター、発注者)   • SeleniumなどのE2Eテストが普及   • このデータをクロールに流用すれば!! 34 何故手動クロールが必要か?
Copyright  (c)    Bitforest  Co.,  Ltd.   手動クロールのメリット • 検査漏れ、設定項目を減らす   • 精度の高いスキャンが可能   • 検査時間のコントロール   • スキャン不要な箇所はクロールしなけれ ばスキャン時間が短縮できる 35
Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) -2015年3月 • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン   • SSL上のアプリケーション 36
Copyright  (c)    Bitforest  Co.,  Ltd.   37 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) FAQ

More Related Content

PDF
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
PPTX
Vaddyサービス説明資料
bykatsuya nishino
 
PDF
継続的セキュリティテストVaddy説明資料
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう!
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
PDF
phpcon kansai 20140628
byichikaway
 
PDF
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
byDevelopers Summit
 
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
Vaddyサービス説明資料
bykatsuya nishino
 
継続的セキュリティテストVaddy説明資料
byichikaway
 
脆弱性もバグ、だからテストしよう!
byichikaway
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
phpcon kansai 20140628
byichikaway
 
【18-E-2】Android6.0 対応! モバイルアプリセキュリティの最新トレンド
byDevelopers Summit
 

What's hot

PPTX
Web Componentsのアクセシビリティ
byMitsue-Links Co.,Ltd. Accessibility Department
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
PDF
Owasp Project を使ってみた
byAkitsugu Ito
 
PDF
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
PDF
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
PDF
M5Stack やーる
bySatoshi Fujimoto
 
PDF
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
PPTX
Vulsで始めよう!DevSecOps!
byTakayuki Ushida
 
PDF
JenkinsとSeleniumの活用事例
byTakeshi Kondo
 
PDF
RubyでDSL
byYukimitsu Izawa
 
PPTX
これからのWebセキュリティ フロントエンド編 #seccamp
byKyo Ago
 
PPTX
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
PDF
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
PDF
130821 owasp zed attack proxyをぶん回せ
byMinoru Sakai
 
PDF
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
PPTX
cybozu.com Security Challenge 結果報告
byAkitsugu Ito
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PDF
防御から謝罪まで・・・WordPressにヤマを張るっ!
byyoshinori matsumoto
 
PPTX
Vuls×deep security
by一輝 長澤
 
Web Componentsのアクセシビリティ
byMitsue-Links Co.,Ltd. Accessibility Department
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
Owasp Project を使ってみた
byAkitsugu Ito
 
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
M5Stack やーる
bySatoshi Fujimoto
 
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
Vulsで始めよう!DevSecOps!
byTakayuki Ushida
 
JenkinsとSeleniumの活用事例
byTakeshi Kondo
 
RubyでDSL
byYukimitsu Izawa
 
これからのWebセキュリティ フロントエンド編 #seccamp
byKyo Ago
 
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
130821 owasp zed attack proxyをぶん回せ
byMinoru Sakai
 
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
cybozu.com Security Challenge 結果報告
byAkitsugu Ito
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
防御から謝罪まで・・・WordPressにヤマを張るっ!
byyoshinori matsumoto
 
Vuls×deep security
by一輝 長澤
 

Similar to VAddy - CI勉強会 fukuoka

PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PDF
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
PDF
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
PDF
受託開発でテストファーストしたらXXXを早期発見できてハイアジリティになったはなし
byterahide
 
PDF
イエラエセキュリティMeet up 20210820
byGMOサイバーセキュリティ byイエラエ株式会社
 
PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PDF
JenkinsとjMeterで負荷テストの自動化
bySatoshi Akama
 
PDF
BPStudy20121221
byShinichiro Takezaki
 
PDF
【VMware】jp developer-summit_2012_final_for_print
byVMwareKK
 
PDF
Hbstudy41 slide
byFujishiro Takuya
 
PDF
○○ as Code(LL Diver)
byYoshiyuki Takano
 
PDF
Osc2010 Do LT
byKazuhisa Hara
 
PPTX
Browser andsecurity2015
by彰 村地
 
PDF
2019 1101 dev_io_tokyo_30min_slideshare
byShinichiro Kawano
 
PDF
Japan Developer Summit (jp) - Cloud Foundry, the Open Platform As A Service
byPatrick Chanezon
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
PDF
hbstudy#06
bytsakaguchi
 
PDF
Osc2009 Do Xen Hara
byKazuhisa Hara
 
PDF
【Hpcstudy】みんな、ベンチマークどうやってるの?
bySeiichiro Ishida
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
受託開発でテストファーストしたらXXXを早期発見できてハイアジリティになったはなし
byterahide
 
イエラエセキュリティMeet up 20210820
byGMOサイバーセキュリティ byイエラエ株式会社
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
JenkinsとjMeterで負荷テストの自動化
bySatoshi Akama
 
BPStudy20121221
byShinichiro Takezaki
 
【VMware】jp developer-summit_2012_final_for_print
byVMwareKK
 
Hbstudy41 slide
byFujishiro Takuya
 
○○ as Code(LL Diver)
byYoshiyuki Takano
 
Osc2010 Do LT
byKazuhisa Hara
 
Browser andsecurity2015
by彰 村地
 
2019 1101 dev_io_tokyo_30min_slideshare
byShinichiro Kawano
 
Japan Developer Summit (jp) - Cloud Foundry, the Open Platform As A Service
byPatrick Chanezon
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
hbstudy#06
bytsakaguchi
 
Osc2009 Do Xen Hara
byKazuhisa Hara
 
【Hpcstudy】みんな、ベンチマークどうやってるの?
bySeiichiro Ishida
 

More from ichikaway

PDF
phpcon2013 PHP x twilio
byichikaway
 
PDF
CakePHP 1 to 2 Migration tips 100
byichikaway
 
PDF
Nginxを使ったオレオレCDNの構築
byichikaway
 
PDF
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
PDF
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
PDF
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
PDF
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
PDF
VAddy at LL Diver LT
byichikaway
 
PDF
現場で使える脆弱性検査サービス VAddy
byichikaway
 
PDF
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
PDF
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
PDF
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
PDF
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
PDF
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
PDF
Understanding Computer Architecture with NES Emulator
byichikaway
 
PDF
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
PDF
fukuokaphp7 PHP x twilio
byichikaway
 
PDF
福岡xTwilio twilio meetup
byichikaway
 
phpcon2013 PHP x twilio
byichikaway
 
CakePHP 1 to 2 Migration tips 100
byichikaway
 
Nginxを使ったオレオレCDNの構築
byichikaway
 
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
VAddy at LL Diver LT
byichikaway
 
現場で使える脆弱性検査サービス VAddy
byichikaway
 
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
Understanding Computer Architecture with NES Emulator
byichikaway
 
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
fukuokaphp7 PHP x twilio
byichikaway
 
福岡xTwilio twilio meetup
byichikaway
 

Recently uploaded

PPTX
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PPTX
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PDF
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PDF
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PDF
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PDF
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PDF
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
PDF
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 

VAddy - CI勉強会 fukuoka

  • 1.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト! VAddy 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト   市川
  • 2.
    Copyright  (c)    Bitforest  Co.,  Ltd.   自己紹介 • @cakephper / @ichikaway • Fukuoka.php勉強会主催 • PHPカンファレンス福岡主催 2
  • 3.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要 3 PHPカンファレンス 福岡 2015/6/27(土)
  • 4.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要 4 CIと連携して セキュリティテストを 実現するサービス
  • 5.
    Copyright  (c)    Bitforest  Co.,  Ltd.   テストの普及 • 不具合の検出   • 再発防止   • リファクタリング・アップデート 5
  • 6.
    Copyright  (c)    Bitforest  Co.,  Ltd.   忘れがちなテスト • セキュリティテスト   • 今回はWebの脆弱性検査の話   • パフォーマンステスト   • loader.ioなど 6
  • 7.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテストの重要性 • 情報漏洩   • 改竄、マルウェアの配布   • 他サイトへのリスト型攻撃に悪用 7 損害賠償、2次被害など影響が大きい
  • 8.
    Copyright  (c)    Bitforest  Co.,  Ltd.   8 セキュリティテスト   必須の時代に
  • 9.
    Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  brakeman)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 9
  • 10.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 10 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
  • 11.
    Copyright  (c)    Bitforest  Co.,  Ltd.   11 理想的には   開発初期から   リリース後まで
  • 12.
    Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
  • 13.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
  • 14.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
  • 15.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 15 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
  • 16.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • 設定項目が多くノウハウを貯める必要   • 環境構築・運用コスト   • CIのフローに乗せるのが大変 16
  • 17.
    Copyright  (c)    Bitforest  Co.,  Ltd.   17 継続的   セキュリティテストを   簡単に実現する   サービスが必要
  • 18.
    Copyright  (c)    Bitforest  Co.,  Ltd.   18 CIサイクルに組込めて     簡単に導入でき   運用が不要なサービス
  • 19.
    Copyright  (c)    Bitforest  Co.,  Ltd.   19 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
  • 20.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • ブラックボックスのWeb脆弱性診断   • インストール不要   • CI連携を前提に設計   • WebAPI連携   • 無人の運用が必須 20
  • 21.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • セキュリティ検査エンジンを独自開発   • ユーザが行う設定作業を最小限に   • 機械学習の機能を持ったエンジン   • 無人でもうまく動くツール   • 常にアップデート 21
  • 22.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • セキュリティエキスパートが開発・運用   • 国内No.1のSaaS型WAF  Scutumの開発運用を6 年行っているチーム   • http://scutum.jp 22
  • 23.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/3 現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • Rubyクライアント提供中   • CircleCIなどに対応 23
  • 24.
    Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 24
  • 25.
    Copyright  (c)    Bitforest  Co.,  Ltd.   Jenkins VAddyプラグイン提供中 25 https://wiki.jenkins-­‐ci.org/display/JENKINS/VAddy+Plugin
  • 26.
    Copyright  (c)    Bitforest  Co.,  Ltd.   HipChat通知 26
  • 27.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのミッション 27 継続的   セキュリティテスト   文化の普及
  • 28.
    Copyright  (c)    Bitforest  Co.,  Ltd.   28 継続的な   セキュリティテストで   安心してリリースすることが   今後のトレンドになる
  • 29.
    Copyright  (c)    Bitforest  Co.,  Ltd.   29 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) デモ
  • 30.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの操作 3ステップ • STEP1    テスト対象サーバ登録   • authファイルの設置   • STEP2    検査対象のクロール   • Webアプリケーションの画面操作   • STEP3    スキャン実行(画面  /  WebAPI)   • 結果参照 30
  • 31.
    Copyright  (c)    Bitforest  Co.,  Ltd.   クロールとは? 31
  • 32.
    Copyright  (c)    Bitforest  Co.,  Ltd.   クロールとは? 32 アプリケーションの 操作記録を保存   (URL、パラメータ、 ログイン情報など) ブラウザのProxy設 定にてVAddy  Proxy をセットし、Web アプリケーション を操作
  • 33.
    Copyright  (c)    Bitforest  Co.,  Ltd.   何故手動クロールが必要か? • 自動クロールの限界   • 時間がかかる   • リンク切れURL   • 認証画面情報   • アプリケーション特有の動作 33
  • 34.
    Copyright  (c)    Bitforest  Co.,  Ltd.   • 検査対象のアプリを一番良く知っている人   • お客様(開発者、テスター、発注者)   • SeleniumなどのE2Eテストが普及   • このデータをクロールに流用すれば!! 34 何故手動クロールが必要か?
  • 35.
    Copyright  (c)    Bitforest  Co.,  Ltd.   手動クロールのメリット • 検査漏れ、設定項目を減らす   • 精度の高いスキャンが可能   • 検査時間のコントロール   • スキャン不要な箇所はクロールしなけれ ばスキャン時間が短縮できる 35
  • 36.
    Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) -2015年3月 • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン   • SSL上のアプリケーション 36
  • 37.
    Copyright  (c)    Bitforest  Co.,  Ltd.   37 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) FAQ