ichikaway, profile picture
Uploaded byichikaway
PDF, PPTX7,874 views

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT資料

Embed presentation

Download as PDF, PPTX
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト   市川
Copyright  (c)    Bitforest  Co.,  Ltd.   自己紹介 2 • IPA好き 市川 • @cakephper / @ichikaway • 福岡在住(PHPカンファレンス福岡)
Copyright  (c)    Bitforest  Co.,  Ltd.   3 Webエンジニアは   セキュリティを意識した   開発をすべき!
Copyright  (c)    Bitforest  Co.,  Ltd.   4 本音   セキュリティのこと考えたくない!
Copyright  (c)    Bitforest  Co.,  Ltd.   5 本音2   ライブラリ、   フレームワークで   なんとかして!
Copyright  (c)    Bitforest  Co.,  Ltd.   6 現実   やられたニュースをよく聞く   自分は大丈夫だろうか?
Copyright  (c)    Bitforest  Co.,  Ltd.   7 現実   広範囲のスキャンが来て   凡ミスがあると・・・
Copyright  (c)    Bitforest  Co.,  Ltd.   8 脆弱性もバグ   だからテストしよう!
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト • 脆弱性診断サービス   • セキュリティテストツール   • App  Scan   • OWASP  ZAP   • VAddy 9
Copyright  (c)    Bitforest  Co.,  Ltd.   OWASP ZAP 10
Copyright  (c)    Bitforest  Co.,  Ltd.   11 ユニットテストと同じく   開発初期から   リリース後まで
Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • CIのフローに乗せるのが大変   • 設定項目が多くノウハウを貯める必要 15
Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 16 Webアプリケーションの動作を   検査ツールが把握して   検査できなければ   まったく意味がない
Copyright  (c)    Bitforest  Co.,  Ltd.   17 なんか・・面倒そう 本音
Copyright  (c)    Bitforest  Co.,  Ltd.   本音 18 ビジネスに関わる開発に   注力したいのに・・
Copyright  (c)    Bitforest  Co.,  Ltd.   19 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
Copyright  (c)    Bitforest  Co.,  Ltd.   20 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
Copyright  (c)    Bitforest  Co.,  Ltd.   21 継続的Webセキュリティテストサービス http://vaddy.net
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • インストール不要(SaaS)   • 無料   • CI連携可能   • WebAPI提供   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 22
Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 23
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 24 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるように
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 25 開発者が   開発に注力できるように!
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 26 機械学習を使った   セキュリティ検査の   エンジンを独自開発
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy DEMO 27
Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 28
Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 29
Copyright  (c)    Bitforest  Co.,  Ltd.   30 まずは   VAddyやOWASP  ZAP   を使って評価   小さく初めてみる
Copyright  (c)    Bitforest  Co.,  Ltd.   31 継続的な   セキュリティテストが   今後のトレンドになる
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/5 現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • Rubyクライアント提供中   • CircleCI,  TravisCI,  Codeshipなどに対応 32
Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン(Angular.jsも含め)   • SSL上のアプリケーション 33
Copyright  (c)    Bitforest  Co.,  Ltd.   34 http://vaddy.net ご清聴ありがとう   ございました

More Related Content

PDF
PHPにないセキュリティ機能
byYasuo Ohgaki
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
WebRTC開発者向けプラットフォーム SkyWayの裏側
byYusuke Naka
 
PDF
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
PPTX
fastlane x iOSアプリのCI
byToshiyuki Hirata
 
PDF
マイクロサービスにおけるテスト自動化 with Karate
byTakanori Suzuki
 
PDF
詳解!自動結合テスト #jasst
bykyon mm
 
PPTX
Klocworkのご紹介
byMasaru Horioka
 
PHPにないセキュリティ機能
byYasuo Ohgaki
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
WebRTC開発者向けプラットフォーム SkyWayの裏側
byYusuke Naka
 
PHPカンファレンス2014セキュリティ対談資料
byYasuo Ohgaki
 
fastlane x iOSアプリのCI
byToshiyuki Hirata
 
マイクロサービスにおけるテスト自動化 with Karate
byTakanori Suzuki
 
詳解!自動結合テスト #jasst
bykyon mm
 
Klocworkのご紹介
byMasaru Horioka
 

What's hot

PDF
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
byGame Tools & Middleware Forum
 
PPTX
Klocwork カスタムチェッカー紹介
byMasaru Horioka
 
PPTX
Dangerでpull requestレビューの指摘事項を減らす
byShunsuke Maeda
 
PPTX
5minQues - SWET近況報告
byMasaki Nakagawa
 
PPTX
コードレビューをより良くする Danger x Android
byToshiyuki Hirata
 
PDF
Spring Bootをはじめる時にやるべき10のこと
by心 谷本
 
PPTX
静的解析ツールKlocwork によるCERT-C/CWE対応
byMasaru Horioka
 
PDF
OWIN - .NETにおけるPSGI -
by将 高野
 
PPTX
Klocwork 2017.1アップデート
byMasaru Horioka
 
PPTX
Androidアプリ開発のテスト環境
byToshiyuki Hirata
 
PDF
iOSにおけるコードレビューを一歩先へ進める
byShunsuke Maeda
 
PPTX
バージョンアップ対応を軽減するサービス:マスティフ
byToshiyuki Hirata
 
PPTX
iOSアプリの自動テストをはじめよう
byToshiyuki Hirata
 
PPTX
Android e2e testing at mercari
byVishal Banthia
 
PPTX
2017年のiOSアプリ開発におけるCI事情
byToshiyuki Hirata
 
PPTX
.NETラボ2021年9月 Blazorのカスタム認証を通じてDIの便利さを学ぶ
byTomomitsuKusaba
 
PPTX
PHPにないセキュリティ機能
byYasuo Ohgaki
 
PPTX
PHPにないセキュリティ機能
byYasuo Ohgaki
 
PDF
iOSで利用できるデバイスファームのメリット・デメリットの紹介
byShunsuke Maeda
 
PPTX
レガシーコード改善のススメ
byAkira Hirasawa
 
GTMF 2015: バグを減らそう。テストを楽にしよう。静的解析が開発者を救う。 | 日本シノプシス合同会社
byGame Tools & Middleware Forum
 
Klocwork カスタムチェッカー紹介
byMasaru Horioka
 
Dangerでpull requestレビューの指摘事項を減らす
byShunsuke Maeda
 
5minQues - SWET近況報告
byMasaki Nakagawa
 
コードレビューをより良くする Danger x Android
byToshiyuki Hirata
 
Spring Bootをはじめる時にやるべき10のこと
by心 谷本
 
静的解析ツールKlocwork によるCERT-C/CWE対応
byMasaru Horioka
 
OWIN - .NETにおけるPSGI -
by将 高野
 
Klocwork 2017.1アップデート
byMasaru Horioka
 
Androidアプリ開発のテスト環境
byToshiyuki Hirata
 
iOSにおけるコードレビューを一歩先へ進める
byShunsuke Maeda
 
バージョンアップ対応を軽減するサービス:マスティフ
byToshiyuki Hirata
 
iOSアプリの自動テストをはじめよう
byToshiyuki Hirata
 
Android e2e testing at mercari
byVishal Banthia
 
2017年のiOSアプリ開発におけるCI事情
byToshiyuki Hirata
 
.NETラボ2021年9月 Blazorのカスタム認証を通じてDIの便利さを学ぶ
byTomomitsuKusaba
 
PHPにないセキュリティ機能
byYasuo Ohgaki
 
PHPにないセキュリティ機能
byYasuo Ohgaki
 
iOSで利用できるデバイスファームのメリット・デメリットの紹介
byShunsuke Maeda
 
レガシーコード改善のススメ
byAkira Hirasawa
 

Similar to 継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

PDF
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
PDF
VAddy - CI勉強会 fukuoka
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう!
byichikaway
 
PDF
継続的セキュリティテストVaddy説明資料
byichikaway
 
PPTX
Vaddyサービス説明資料
bykatsuya nishino
 
PDF
phpcon kansai 20140628
byichikaway
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
PDF
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PDF
私がMuninに恋する理由 - インフラエンジニアでも監視がしたい! -
byMasahito Zembutsu
 
PDF
SecureAssist Introduction
byAsterisk Research, Inc.
 
PDF
「開発者とセキュリティのお付き合い」5パターン
byToshi Aizawa
 
ODP
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
PDF
Osc2010 Do LT
byKazuhisa Hara
 
PDF
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
PDF
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
PPTX
Browser andsecurity2015
by彰 村地
 
PDF
hbstudy#06
bytsakaguchi
 
PDF
BPStudy20121221
byShinichiro Takezaki
 
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
VAddy - CI勉強会 fukuoka
byichikaway
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
脆弱性もバグ、だからテストしよう!
byichikaway
 
継続的セキュリティテストVaddy説明資料
byichikaway
 
Vaddyサービス説明資料
bykatsuya nishino
 
phpcon kansai 20140628
byichikaway
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
私がMuninに恋する理由 - インフラエンジニアでも監視がしたい! -
byMasahito Zembutsu
 
SecureAssist Introduction
byAsterisk Research, Inc.
 
「開発者とセキュリティのお付き合い」5パターン
byToshi Aizawa
 
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
Osc2010 Do LT
byKazuhisa Hara
 
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
Browser andsecurity2015
by彰 村地
 
hbstudy#06
bytsakaguchi
 
BPStudy20121221
byShinichiro Takezaki
 

More from ichikaway

PDF
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
PDF
Understanding Computer Architecture with NES Emulator
byichikaway
 
PDF
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
PDF
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
PDF
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
PDF
現場で使える脆弱性検査サービス VAddy
byichikaway
 
PDF
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
PDF
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
PDF
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
PDF
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
PDF
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
PDF
VAddy at LL Diver LT
byichikaway
 
PDF
福岡xTwilio twilio meetup
byichikaway
 
PDF
Nginxを使ったオレオレCDNの構築
byichikaway
 
PDF
phpcon2013 PHP x twilio
byichikaway
 
PDF
fukuokaphp7 PHP x twilio
byichikaway
 
PDF
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
PDF
CakePHP 1 to 2 Migration tips 100
byichikaway
 
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
Understanding Computer Architecture with NES Emulator
byichikaway
 
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
現場で使える脆弱性検査サービス VAddy
byichikaway
 
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
VAddy at LL Diver LT
byichikaway
 
福岡xTwilio twilio meetup
byichikaway
 
Nginxを使ったオレオレCDNの構築
byichikaway
 
phpcon2013 PHP x twilio
byichikaway
 
fukuokaphp7 PHP x twilio
byichikaway
 
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
CakePHP 1 to 2 Migration tips 100
byichikaway
 

継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

  • 1.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 2015/2/19 VAddy Meetup 1 株式会社ビットフォレスト   市川
  • 2.
    Copyright  (c)    Bitforest  Co.,  Ltd.   自己紹介 2 • IPA好き 市川 • @cakephper / @ichikaway • 福岡在住(PHPカンファレンス福岡)
  • 3.
    Copyright  (c)    Bitforest  Co.,  Ltd.   3 Webエンジニアは   セキュリティを意識した   開発をすべき!
  • 4.
    Copyright  (c)    Bitforest  Co.,  Ltd.   4 本音   セキュリティのこと考えたくない!
  • 5.
    Copyright  (c)    Bitforest  Co.,  Ltd.   5 本音2   ライブラリ、   フレームワークで   なんとかして!
  • 6.
    Copyright  (c)    Bitforest  Co.,  Ltd.   6 現実   やられたニュースをよく聞く   自分は大丈夫だろうか?
  • 7.
    Copyright  (c)    Bitforest  Co.,  Ltd.   7 現実   広範囲のスキャンが来て   凡ミスがあると・・・
  • 8.
    Copyright  (c)    Bitforest  Co.,  Ltd.   8 脆弱性もバグ   だからテストしよう!
  • 9.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト • 脆弱性診断サービス   • セキュリティテストツール   • App  Scan   • OWASP  ZAP   • VAddy 9
  • 10.
    Copyright  (c)    Bitforest  Co.,  Ltd.   OWASP ZAP 10
  • 11.
    Copyright  (c)    Bitforest  Co.,  Ltd.   11 ユニットテストと同じく   開発初期から   リリース後まで
  • 12.
    Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
  • 13.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
  • 14.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
  • 15.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • CIのフローに乗せるのが大変   • 設定項目が多くノウハウを貯める必要 15
  • 16.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 16 Webアプリケーションの動作を   検査ツールが把握して   検査できなければ   まったく意味がない
  • 17.
    Copyright  (c)    Bitforest  Co.,  Ltd.   17 なんか・・面倒そう 本音
  • 18.
    Copyright  (c)    Bitforest  Co.,  Ltd.   本音 18 ビジネスに関わる開発に   注力したいのに・・
  • 19.
    Copyright  (c)    Bitforest  Co.,  Ltd.   19 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
  • 20.
    Copyright  (c)    Bitforest  Co.,  Ltd.   20 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
  • 21.
    Copyright  (c)    Bitforest  Co.,  Ltd.   21 継続的Webセキュリティテストサービス http://vaddy.net
  • 22.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • インストール不要(SaaS)   • 無料   • CI連携可能   • WebAPI提供   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 22
  • 23.
    Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 23
  • 24.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 24 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるように
  • 25.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 25 開発者が   開発に注力できるように!
  • 26.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 26 機械学習を使った   セキュリティ検査の   エンジンを独自開発
  • 27.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy DEMO 27
  • 28.
    Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 28
  • 29.
    Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 29
  • 30.
    Copyright  (c)    Bitforest  Co.,  Ltd.   30 まずは   VAddyやOWASP  ZAP   を使って評価   小さく初めてみる
  • 31.
    Copyright  (c)    Bitforest  Co.,  Ltd.   31 継続的な   セキュリティテストが   今後のトレンドになる
  • 32.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの現状(2015/5 現在) • 無料プランのみ提供中   • 何度でもスキャン実行可能   • SQLインジェクション、XSS   • Jenkinsプラグイン提供中   • Rubyクライアント提供中   • CircleCI,  TravisCI,  Codeshipなどに対応 32
  • 33.
    Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン(Angular.jsも含め)   • SSL上のアプリケーション 33
  • 34.
    Copyright  (c)    Bitforest  Co.,  Ltd.   34 http://vaddy.net ご清聴ありがとう   ございました