Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

フリーでやろうぜ!セキュリティチェック!

61,388 views

Published on

July Tech Festa 2015にて登壇した際の資料です。

なお後日、小河さんがOpen VASのCLI操作の解説について以下のスライドを追加投稿してくれました!
「フリーでできるセキュリティチェック OpenVAS CLI編」
http://www.slideshare.net/abend_cve_9999_0001/openvas-cli-51048313

Published in: Technology
  • Hi there! I just wanted to share a list of sites that helped me a lot during my studies: .................................................................................................................................... www.EssayWrite.best - Write an essay .................................................................................................................................... www.LitReview.xyz - Summary of books .................................................................................................................................... www.Coursework.best - Online coursework .................................................................................................................................... www.Dissertations.me - proquest dissertations .................................................................................................................................... www.ReMovie.club - Movies reviews .................................................................................................................................... www.WebSlides.vip - Best powerpoint presentations .................................................................................................................................... www.WritePaper.info - Write a research paper .................................................................................................................................... www.EddyHelp.com - Homework help online .................................................................................................................................... www.MyResumeHelp.net - Professional resume writing service .................................................................................................................................. www.HelpWriting.net - Help with writing any papers ......................................................................................................................................... Save so as not to lose
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Free Shed Plans, 12000 SHED PLANS. FREE SHED PLANS CLICK HERE ☞☞☞ https://url.cn/1lvHlCNO
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/2u6xbL5 ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ❶❶❶ http://bit.ly/2u6xbL5 ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ❶❶❶ http://bit.ly/2LaDVgK ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

フリーでやろうぜ!セキュリティチェック!

  1. 1. フリーでやろうぜ! セキュリティチェック! 2015/7/26 JTF2015
  2. 2. Profile of Speakers
  3. 3. Shun Suzaki(洲崎 俊) Twitter: @tigerszk ユーザ企業のセキュリティチームに所属する「とある診断員」 Satoshi Ogawa(小河哲之) Twitter: @number3to4 アルコール摂取に余念がないセキュリティエンジニア Yuho Kameda(亀田勇歩) Twitter: @YuhoKameda 世界に羽ばたく OWASP ZAP Evangelist I‘M A CERTAIN PENTESTER NO DRINK, NO HACK! I LOVE OWASP ZAP!
  4. 4. 脆弱性診断  システムやアプリケーションの脆弱性を発見し、安全性 について調査を行うもの  セキュリティベンダがサービスとして提供している  最近は自前で商用ツールを導入して、自社内の開発物 に検査しているケースも多い
  5. 5. 一般的な手法~その1~ FW サーバ機器 診断環境 診断対象環境 Webアプリ NW機器  ブラックボックステスト 診断対象システムに対して、疑似攻撃を試行し、 応答結果を分析して脆弱性を洗い出す Attack! × 診断実施者 × Internet
  6. 6. 一般的な手法~その2~ ホワイトボックステスト 設計書、仕様書、コンフィグファイル、ソースコードなどを 分析して、脆弱性を洗い出す
  7. 7. ちなみにこんな取り組みもしています(宣伝) 「脆弱性診断士(Webアプリケーション)スキルマップ」 http://isog-j.org/activities/result.html
  8. 8. やると色々良いことがあります! • 現状のセキュリティリスクを把握できる • 設定、実装時のミスを確認できる • 発見した脆弱性を対策することで、セキュリティインシ デントの発生を予防 … etc
  9. 9. しかし現実には、、、 さまざまな諸事情によって、何もチェックされていない システムやアプリなどがまだまだ多く散見されます… • コストをかけられない • スケジュールに余裕がない • リソースが足りない • 何をすれば良いかわからない orz...
  10. 10. じゃあそういう場合はどうしようもないのか? OTEAGE?
  11. 11. 出来ることはありますよ! まずは簡単にチェックでき ることからやりましょう! あからさまなセキュリティ ホールを潰すだけでも 十分効果があります! YesWeCan2 / cfishy
  12. 12. 今回のセッションの主旨 以下をテーマにセキュリティチェックのTipsをご紹介  FREE(無料)  手間がかからない Easy Button / GotCredit
  13. 13. ご注意!! 本スライドに記載した行為を自身の管理下にないネットワーク/コンピューターに行った 場合は、攻撃行為と判断される場合があります。 最悪の場合、法的措置を取られる可能性もあります。 このようなツールを利用して検査を行う場合は、くれぐれも許可を取った上で、自身の 管理下にあるネットワークやサーバーに対してのみ行ってください。 ※また、診断実施時には、後述する「脆弱性診断時における注意事項」をご参照して いただき、各種準備を行った上で実施をするようにしてください。
  14. 14. インフラ編 zoomed in front of server / CWCS Managed Hosting
  15. 15. まず何をしないといけないのか セキュリティ対策を実施するために、サーバやネットワーク 機器のどこに問題があるか把握する必要があります。 問題を把握しないと、適切な対策が実施できない。 では、どうやって問題を把握すればいいのでしょうか。
  16. 16. まず何をしないといけないのか 2つの観点で、問題点を洗い出すことが可能です。 1. どのサービスが稼働しているのか? 2. 稼働しているサービスにセキュリティ上の問題は? → ポートスキャンによる稼働しているサービスの確認 → 脆弱性スキャンによるセキュリティ上の問題点の確認
  17. 17. 1. ポートスキャンについて ポートスキャンにより、どのサービスが稼働しているのか を把握する。 TCP、UDPの各ポートに対して、パケットを送信しサービス の稼働を確認する。 スキャン対象 ポートスキャン スキャン元
  18. 18. 1. ポートスキャンについて ポートスキャンを行う観点は2つあります。 ②スキャン対象自体の問題を確認できます。 ※スキャン対象を操作可能ならnetstatの方が確実 スキャン対象 社内NW インターネットFW②社内から ①インタネット経由 ①FWの設定を含めスキャン対象の問題を確認できます。
  19. 19. 1. ポートスキャンについて ポートスキャンはTCPとUDPで異なりますが、TCPの中でも いくつか方法があります。 DSTSRC CONNECTスキャン SYNスキャン DSTSRC
  20. 20. 1. ポートスキャンについて ポートスキャンを行うためのアプリケーションとして Nmap があります。 https://nmap.org/ (英語) Linux、Windows、Mac OS Xや多くのUNIXプラットフォーム で実行が可能。NmapはCUIですが、GUIで操作が可能な アプリケーションとしてZenmapがあります。
  21. 21. 1. ポートスキャンについて Nmapは複数のオプションがあり、一部抜粋します。 -sS ・・・ SYNスキャン -sT ・・・ CONNECTスキャン -sU ・・・ UDPスキャン -sP ・・・ PINGによるホストの探索(ポートスキャンは実施しない) -n ・・・ DNSによる名前解決を行わない -p ポート ・・・ 指定したポートに対してスキャン -A ・・・ アプリケーションのバージョンおよびOSの検出を行う -T 数値 ・・・ スキャンするタイミングを指定する数値(1から5)で実施する -oN ファイル名 ・・・ ファイル名にスキャン結果を出力する -iL ファイル名 ・・・ ファイル名に記載されたホストまたはネットワークを対象 -v、-vv ・・・ 詳細情報が出力される 例: nmap -sS -P0 –n –p1-65535 –A –T4 –oN output –vv 対象IP 参考サイト:https://nmap.org/man/jp/ (日本語)
  22. 22. 1. ポートスキャンについて オプションは状況にあわせて設定してください。 nmap -p1-65535 –sS –A 対象IP ・ TCPのすべてのポートへSYNスキャン。OS、サービス検出。 nmap -sU -P0 対象IP ・ UDPの主要ポートへスキャン。PINGでの確認を行わない。 nmap -sS -sU -p T:80,443,U:53,111 -T4 対象IP ・ TCP、UDPの特定ポートへスキャン。スキャンタイミングを早くする。
  23. 23. 1. ポートスキャンについて スキャンにかかる時間は、TCPよりもUDPの方が多くなって しまいます。 TCP: nmap --top-ports 100 対象IP ⇒ スキャンにかかった時間:0.09s UDP: nmap –sU --top-ports 100 対象IP ⇒ スキャンにかかった時間:108.43s ※同一PC上に2つの仮想環境を構築し、スキャンを実施。
  24. 24. 1. ポートスキャンについて スキャンタイミングを早くすることで、検出精度が悪くなって しまう可能性があります。 タイムアウトの時間が短いため、検出漏れにつながる可能性が あります。 また、nmapのタイミング(-Tオプション)は「3」、zenmapは「4」 ですが、「5」にした場合、スキャン対象の負荷が高まる可能性が あります。
  25. 25. 1. ポートスキャンについて 以下は「-A」オプションを付与した結果を抜粋したものです。 53/tcp open domain ISC BIND 9.4.2 | dns-nsid: |_ bind.version: 9.4.2 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Device type: general purpose Running: Linux 2.6.X ポートの稼働状況やアプリケーションの情報、スキャン対象 のOSに関する情報を取得することが可能です。
  26. 26. 1. ポートスキャンについて スキャン結果を以下の観点で確認してみてください。 ① 稼働するサービスの中で、必要なものとそうでないもの を確認する。 ② 不要なサービスは止める。止めることの影響が不明な 場合、FWなどでアクセス制限をかける。 ③ 稼働するサービスでアプリケーションのバージョンなどの 情報は出力しないように、設定を見直す。
  27. 27. 脆弱性スキャンは、稼働するアプリケーションのセキュリティ 上の問題点を確認し、適切な対応を取るために利用します。 一般的に2つの観点で問題の確認を行います。 実査 疑似攻撃を行い、挙動から問題点 の有無を検査する。 例:TCP25ポート(SMTP)でメール のリレーが可能か確認する。 バージョン情報のチェック 取得されたバージョン情報を基に既 知の脆弱性を報告する。 例:レスポンスの「Apache2.2.4」を 基に報告。 2. 脆弱性スキャンについて
  28. 28. 脆弱性スキャンを行うツールは複数存在します。今回は、 オープンソースであるOpenVASをご紹介します。 2. 脆弱性スキャンについて http://www.openvas.org (英語)
  29. 29. ログイン画面 トップ画面 2. 脆弱性スキャンについて
  30. 30. OpenVASで脆弱性スキャンを行う手順は以下です。 認証情報 の設定 Portの 設定 Target の設定 Taskの 設定 脆弱性 スキャン 結果の 確認 対策の 実施 Immediately scanの設定 設定しない、またはテンプレート を用いることで省略可能です。 OpenVASを用いて実施可能です。 スキャン結果にあわせて実施する必要があります。 2. 脆弱性スキャンについて
  31. 31. Immediately scanは、トップ画面でIPアドレスまたはホスト 名を入力し、「Start Scan」を押下すると脆弱性スキャンが 開始されます。 UDPのチェックが行われないため、DNS などのUDPに対するチェックを行いたい 場合、別途設定する必要があります。 2. 脆弱性スキャンについて
  32. 32. 認証情報を設定することで、より多くの項目をチェックでき るようになります。 認証機能 アプリケーション やカーネルなど 認証情報を設定されていない場合 認証情報を設定されている場合 2. 脆弱性スキャンについて
  33. 33. 同じ対象に対してスキャンを行った場合でも、認証情報の 有無によりスキャン結果は変わってしまいます。 High Medium Low Log 認証情報あり 129 161 25 87 認証情報なし 26 37 8 74 0 20 40 60 80 100 120 140 160 180 検出数 2. 脆弱性スキャンについて
  34. 34. 認証情報の設定方法は以下です。環境に合わせて実施を 検討することが好ましいです。 2. 脆弱性スキャンについて
  35. 35. 2. 脆弱性スキャンについて
  36. 36. Portの設定はテンプレートを利用することで割愛することも 可能ですが、ポートスキャンの結果などからカスタマイズす ることも可能です。 2. 脆弱性スキャンについて
  37. 37. カスタマイズする場合、テンプレートをコピーして修正する方 が手間が少ないです。 ベースとするテンプレートの「clone」を押下する。 2. 脆弱性スキャンについて
  38. 38. 2. 脆弱性スキャンについて
  39. 39. 「Start」と「End」で入力された数値を含む間にあるポートを 対象として設定することが可能です。 2. 脆弱性スキャンについて
  40. 40. スキャン対象に関する情報を設定します。 2. 脆弱性スキャンについて
  41. 41. 2. 脆弱性スキャンについて
  42. 42. スキャン対象のIPアドレスまたはホスト名を設定します。 「Port List」でカスタマイズしたPortの設定を選択可能です。ま た、認証情報は「SSH」、「SMB」、「ESXi」で選択可能です。 2. 脆弱性スキャンについて
  43. 43. Taskを設定し、スキャン対象に対してスキャンを実施しま す。 2. 脆弱性スキャンについて
  44. 44. 「Scan Targets」にTargetで設定したものを選択します。 「Scan Config」では、スキャンパターンを選択します。 「Full and very deep」を推奨します。 2. 脆弱性スキャンについて
  45. 45. 「Start」を押下するとスキャンが開始されます。 2. 脆弱性スキャンについて
  46. 46. スキャンの進捗は「Status」に表示されます。 2. 脆弱性スキャンについて
  47. 47. スキャンの結果を確認します。 2. 脆弱性スキャンについて
  48. 48. 2. 脆弱性スキャンについて
  49. 49. 検出された脆弱性ごとに、適切な対策を行う必要が あります。 2. 脆弱性スキャンについて
  50. 50. 優先度に応じて対策を実施していくのが好ましいです。優 先度は「Severity」を指標として選定することも可能です。 リンクなどの参考情報を総合的に 判断されることを推奨いたします。 2. 脆弱性スキャンについて
  51. 51. スキャン結果を指定する形式で出力すること可能です。 2. 脆弱性スキャンについて
  52. 52. 検出された脆弱性については、以下のサイトなどで内容を 確認することができます。各サイトに記載されるCVSSの値 も含めて、総合的に判断されることがいいかもしれません。 ※CVSSとは脆弱性の深刻度を評価するための手法です。 2. 脆弱性スキャンについて JVNDB(日本語) http://jvndb.jvn.jp/index.html Security Focus(英語) http://www.securityfocus.com/vulnerabilities
  53. 53. 検出された脆弱性の管理を行うための機能があります。 はメモを残せる機能になっており、 は脆弱性を再評価するための機能 になっています。 2. 脆弱性スキャンについて
  54. 54. は検出された脆弱性に対して、引き継ぎ事項などのメ モを残すことで複数名で対応する場合にミスの軽減が期待 できます。 2. 脆弱性スキャンについて
  55. 55. は検出された脆弱性が、誤検知であった場合などのよ うにリスクを再度評価する必要があるときに便利な機能と なっています。 2. 脆弱性スキャンについて
  56. 56. Nmapにも脆弱性スキャンの機能が実装されています。 nmap --script [カテゴリ名|ファイル名|など] 対象IP カテゴリ名は、auth、broadcast、brute、default、 discovery、dos、exploit、external、fuzzer、intrusive、 malware、safe、version、vulnの14つカテゴリおよびallを指 定できます。 参考サイト:http://nmap.org/book/nse.html (英語) 2. 脆弱性スキャンについて
  57. 57. 2. 脆弱性スキャンについて カテゴリを複数指定することも可能です。 nmap --script auth,vuln,safe,version 対象IP 結果の一部抜粋 ssl-heartbleed: VULNERABLE: The Heartbleed Bug is a serious vulnerability in the popular OpenSSL nmap --script ssl-heartbleed.nse 対象IP 特定のスキャン項目をファイル名で指定することも可能です。
  58. 58. スキャン頻度について どこまでスキャンをすればいいのでしょうか。 <理想> すべての環境に対して、4半期に1回スキャンを実施し、 新規構築環境は公開前にスキャンを実施する。 検出された問題をすべてクリアする。 ※PCI DSSを参考にしています
  59. 59. スキャン頻度について <推奨>を状況に合わせてカスタマイズいただければ と思います。 <推奨> 外部に公開されている環境に対して、1年に1回スキャン を実施し、新規構築環境は、公開前にスキャンを実施する。 Severityが4(Medium)以上をクリアする。対応が困難な 脆弱性が存在する場合は、代替案によるリスク軽減を 実施する。 ※PCI DSSを参考にしています
  60. 60. お願い 定期的に実施することが非常に難しいです・・・。 ですが、ちょっとでもセキュリティに興味を持っていただき、 運用に組み込んでいただけると、すごくうれしいです!!
  61. 61. お願い もしも、夜叉の構えでバットを振り回す人がいれば その間にスキャンを回してもらうように、お伝えてください。
  62. 62. Webアプリ編 HTTPS / Christiaan Colen
  63. 63. Webアプリ診断について • なぜWebアプリ診断が必要なのか? – Webアプリに存在する脆弱性の発見 – バグや設定不備の残存を確認 • Webアプリに脆弱性があるとどうなるのか? – サーバ内に存在するデータの流出 – Webページ改ざんによるマルウェアの拡散
  64. 64. Webアプリ診断に使えるフリーツール • OWASP ZAP (Zed Attack Proxy) – 簡単に使えるフリーの脆弱性診断ツール – ローカルProxyツール • https://github.com/zaproxy/zaproxy/ • https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project – ユーザコミュニティが活発 • Developer Group / User Group • 日本語翻訳チーム など
  65. 65. どのように診断するのか POST /confirm.php HTTP/1.1 Host: example.jp (以下略) Cookie: PHPSESSID=xxxxxxxxxx name=username&mail=user%40example.jp”>xss&gender=1 正常なリクエストを改ざんし、 診断用文字列を送り付けた応答結果を確認する
  66. 66. Webアプリ診断で検出できること • 攻撃に繋がる危険性のある脆弱性の検出 – SQLインジェクション – クロスサイトスクリプティング – コマンドインジェクション – ディレクトリ・トラバーサル – HTTPヘッダインジェクション など
  67. 67. 簡単にできるWebアプリ自動診断 • ZAPを使って自動診断してみる 1. 診断範囲の設定 2. スパイダー機能 3. 動的スキャン機能 4. ディレクトリ探査機能 5. アラート機能(レポート) 6. 検出結果を分析
  68. 68. 今回の診断対象 • OWASP BWA(The Broken Web Applications) • Bodge It – 様々な脆弱性が残っているWebアプリケーション – 「about」ページから、どの脆弱性を見つけることが出来た かチェックできる (トレーニング機能)
  69. 69. 診断範囲の設定 • 診断対象を認識し、外部への通信を行わない この場合、「bodgeit」ディレクトリ配下へ設定
  70. 70. 動的スキャン機能 • 開始URLを選択し、動的スキャンを行う • ページアクセス時のリクエストを改ざんし検査
  71. 71. 動的スキャン機能 各パラメータに対して診断用文字列を埋め込み送信し、 レスポンス内容を分析し脆弱性の存在を判定する。 ここでは、「’”<script>alert(1);</script>」を送信している。
  72. 72. スパイダー機能 • 診断対象内のリンク情報をクローリングする機能
  73. 73. スパイダー機能
  74. 74. スパイダー機能 ページ内のリンクを順に 辿ってページ収集する機能
  75. 75. ディレクトリ探査機能 • 存在するディレクトリを総当たりチェック • チェックする種類 – デフォルトで存在しやすい名前 – 狙われやすいサービス名 など
  76. 76. アラート機能(レポート) • 自動検出した脆弱性の結果を確認
  77. 77. 検出した結果を再現して確認 送信時のリクエストを 確認可能
  78. 78. 検査したい箇所を手動で診断 診断用リクエストを 手動で入力することができる
  79. 79. 実際に検出する脆弱性の事例 • SQLインジェクション – 脅威例 • データベース内の改ざん、漏えい • 認証を回避した不正ログイン – 対策例 • 適切なエスケープ処理、バインド機構の利用 • システムエラーの非表示 • その他の対策はAppendix[安全なウェブサイトの作り方]を参照! 顧客の情報を 扱ってるな… 管理画面も…‼
  80. 80. 実際に検出する脆弱性の事例 • クロスサイト・スクリプティング – 脅威例 • 悪意があるスクリプトの挿入 • Cookie漏えいによる「なりすまし」 – 対策例 • 適切なエスケープ処理 • ダブルクォート(“)で囲う • その他の対策はAppendix[安全なウェブサイトの作り方]を参照! 資料請求や 質問掲示板を 実装したばかり…
  81. 81. 検出結果を分析 • 検出した脆弱性が再現するか確認 • 検出した脆弱性がサービスに与えるリスクを把握 – 管理する個人情報データの漏えい – 管理画面への侵入や乗っ取り など • 修正できる脆弱性は対策を検討する – 危険度の高い脆弱性について関係者へ報告 – Webエンジニアへ検出した内容を伝え修正依頼
  82. 82. スキャン頻度について どこまでスキャンをすればいいのでしょうか。 <理想> すべてのサイトに対して、1年に1回スキャンを実施し、 新規Webサービスは公開前にスキャンを実施する。 検出された問題をすべてクリアする。 ※PCI DSSを参考にしています
  83. 83. スキャン頻度について <推奨>を状況に合わせてカスタマイズいただければ と思います。 <推奨> リリース時にリリースする機能のみ診断し、危険度の高い脆 弱性を修正する。対応が困難な脆弱性が存在する場合 は、代替案によるリスク軽減を実施する。 ※PCI DSSを参考にしています
  84. 84. 参考情報 • ZAPに関する過去の発表資料 – https://www.owasp.org/index.php/User:Yuho_Kameda • OWASP ZAP Japan Group – https://groups.google.com/forum/#!forum/owasp-zaproxy-japan • OWASP ZAP User Group(英語) – https://groups.google.com/forum/#!forum/zaproxy-users • OWASP ZAP (Zed Attack Proxy)関連記事 – http://www.pupha.net/owasp-zap/
  85. 85. 最後に
  86. 86. 出来ることからコツコツと! それが安全へとつながります!
  87. 87. Enjoy Vulnerability Scanning!
  88. 88. Appendix 知っておくとお役に立ちそうな参考情報をまとめました! もしご興味があればご参照ください。
  89. 89. 脆弱性診断時における注意事項
  90. 90. 診断の注意事項 ー診断対象のプラットフォームに関することー 診断対象プラットフォームが、ホスティング環境やクラウドサービスを利用しているような 場合には、不正アクセスとして判断されないために、事前に必ず管理元に許可を取得 するようにしてください。 クラウドサービスによっては以下のように専用の申し込み窓口があるものもあります。 • 侵入テスト AWS セキュリティセンター https://aws.amazon.com/jp/security/penetration-testing/ • Microsoft Azure での侵入テスト (ペネトレーションテスト) の申請について http://blogs.msdn.com/b/dsazurejp/archive/2014/10/15/microsoft-azure-penetration-test- request.aspx また、診断対象をIDS、IPSなどで監視をしている場合には、脆弱性診断作業によってア ラートが上がってしまう可能性があります。 そのため関係者に対して、事前に脆弱性診断を実施する旨の通知と一時的にアクセス 元IPからの通信を非監視にしていただくなどの対応をお願いすべきでしょう。
  91. 91. 診断の注意事項 ーWebアプリケーションに関することー ご紹介したWebアプリケーションの脆弱性診断はアプリケーションに対して色々な値を 送信し、処理させてみて、その挙動を確認していく手法となります。 診断するアプリケーションの作りによっては、多量なDBへの書き込み、メール送信など 副次的影響を及ぼす可能性があります。 このため、システムへの影響を鑑み、下記2点について推奨いたします。 1. テスト環境やステージング環境などで診断を実施 2. 診断事前のデータバックアップ
  92. 92. ホワイトボックステスト系 お役立ちツール
  93. 93. OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check • 指定したディレクトリとファイルをスキャンし、脆弱性が報告されているようなラ イブラリを利用していないかチェックしてくれるツール • 指定した範囲内のファイルを解析し、NVD CVEデータベース情報を利用し て、脆弱性が報告されているライブラリの利用があるかをレポート出力してく れる • 実行するにはJava環境が必要であり、コマンドライン以外にも、以下のような 連携プラグインが用意されている – Maven Plugin – Ant Task – Jenkins Plugin • 現在はJava・.Net・pythonアプリケーションをサポートしているとのこと
  94. 94. スキャン対象範囲から脆弱性が報告されているライブラリの利用を検出
  95. 95. 検出したライブラリに報告されている脆弱性情報の詳細を出力 Struts 1.x系に報告されているStruts: ClassLoader の操作 を許してしまう脆弱性(CVE-2014-0114)を指摘
  96. 96. Microsoft Baseline Security Analyzer(MBSA) https://technet.microsoft.com/ja-jp/security/cc184924.aspx • Windows OSにおける以下項目についてスキャンして状態をレポートし てくれるマイクロソフトが提供しているツール – セキュリティ更新プログラムの適用状況 – 脆弱性があるWindowsの構成上の問題 – IISの状態 – SQL Serverの状態 – IE及びOffice製品の状態
  97. 97. 未適用のセキュリティ更新プログラムの一覧を表示
  98. 98. 設定上の問題なども検出してくれる
  99. 99. 検証やトレーニングに使えるもの ※注 ご紹介するシステムは本当に脆弱性が盛り込まれたものとなっておりますので、 公開範囲を限定した形で利用するようにしてください。
  100. 100. OWASP BWA(The Broken Web Applications) https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project • 意図的に脆弱性が盛り込まれたWebアプリケーションが動作している サーバの仮想マシンイメージを配布している • 以下のカテゴリに分かれた複数の様々な練習用Webアプリケーションを 利用できる – Training Applications – Realistic, Intentionally Vulnerable Applications – Old Versions of Real Applications – Applications for Testing Tools – Demonstration Pages / Small Applications
  101. 101. 用途ごとに分かれた多数の検証用Webアプリを利用できる
  102. 102. AppGoat http://www.ipa.go.jp/security/vuln/appgoat/ • IPA(独立行政法人情報処理推進機構)が公開している開発者をターゲッ トとして公開されている脆弱性体験学習ツール • 実習形式で脆弱性の発見方法や対策の取り方を学習できる • ローカルPC上で演習を行うことを前提にした形式にて配布されている • 以下の二種類がある – ウェブアプリケーション版 – サーバ・デスクトップアプリケーション版
  103. 103. 実習形式で脆弱性の発見方法や対策を学習できる
  104. 104. Metasploitable http://sourceforge.net/projects/metasploitable/files/Metasploitable2/ • MetasploitFrameworkによるペネトレーションテストのトレーニングやテス トに使用するための脆弱性が沢山盛り込まれているサーバシステム • Ubuntuベースで構築されたシステムで仮想イメージにて配布されている • 複数の脆弱性が存在サービスが起動しており、インフラ系の脆弱性診断 ツールなどの検証に最適
  105. 105. Webアプリ診断に関するドキュメント
  106. 106. 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html http://www.ipa.go.jp/files/000017316.pdf • IPA(独立行政法人 情報処理推進機構)には、脆弱性の届け出を受け 付けるシステムが存在し、届け出が多かった情報をもとに作成されてい る • 全部で3章構成となっており、それぞれで安全なウェブサイトを作るため の例が紹介されている – 第1章: ウェブアプリケーションのセキュリティ実装 – 第2章: ウェブサイトの安全性向上のための取り組み – 第3章: 失敗例
  107. 107. ウェブ健康診断仕様 http://www.ipa.go.jp/security/vuln/websecurity.html https://www.ipa.go.jp/files/000017319.pdf • 地方公共団体が運営するウェブサイトの改ざん防止等を目的として作成 された • 具体的な診断仕様が取り上げられており、「基本的な対策」ができてい るかを診断するもの – この診断仕様に記されている検査パターンは絞り込まれたものであ るため、脆弱性が存在しないことを約束するものではありません。 • 診断仕様 – 各脆弱性の危険度、総合判定基準 – 診断項目毎の検出パターン(目安)、判定基準、対象画面
  108. 108. 開発を外部委託する際など に利用できるもの
  109. 109. Webシステム/Webアプリケーション要件書 https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf • OWASP Japanのプロジェクトとして公開された安全なWebアプリケーショ ンの開発に必要なセキュリティ要件記載された文書 • 開発時の要求仕様やRFP(提案依頼書)に盛り込むべき要件がまとめられ ている • 開発言語やフレームワークには依存しないで利用可能
  110. 110. セキュリティ情報の収集
  111. 111. IPA・ JPCERT/CCメーリングリスト IPA:独立行政法人情報処理推進機構 メールニュース http://www.ipa.go.jp/about/mail/index.html JPCERT/CCメーリングリスト https://www.jpcert.or.jp/announce.html • 緊急性の高いセキュリティ情報(重大な脆弱性、流行している攻撃やマル ウェア情報など)についての情報配信しているメーリングリスト
  112. 112. JVN:Japan Vulenability Notes https://jvn.jp/index.html • IPAとJPCERTが共同で運営する、日本で使用されているソフトウェアそ の他の脆弱性とその対策情報を提供するサイト • 発見された脆弱性の内容や対応状況、ユーザー側の対策をデータベー スから確認できる JVN iPedia 脆弱性対策情報データベース http://jvndb.jvn.jp/
  113. 113. piyolog http://d.hatena.ne.jp/Kango/ • 日々発生するセキュリティインシデントの情報を迅速かつ正確にまとめてい らっしゃる@piyokangoさんのサイト • セキュリティ業界の方々も情報源として注目して見ている • インシデント情報以外にも、緊急性の高い脆弱性についても、現時点で判 明している概要・影響範囲・他情報サイトへのリンクなどの情報を、かなり 早いタイミングにてまとめてくださっている非常に貴重なサイト
  114. 114. Twitterセキュリティネタまとめ http://twitmatome.bogus.jp/ • dailyでセキュリティ関連の気になったtweetをまとめてくれている @yousukezanさんのサイト • Twitter上の情報は速報性が高いため、流行っている話題などを追いか けたい方はこちらのまとめを参照するのが良い思われる • ちなみに@ITで一ヶ月単位での「まとめのまとめ」の記事も連載 「セキュリティクラスターまとめのまとめ」最新記事一覧 http://www.atmarkit.co.jp/ait/kw/matomematome.html

×