げんばからおおくりしました

300問題をとるまでのログ

OWASP World Tour 2017 Tokyo #2

当日のスライド下記にすべてあり

https://speakerdeck.com/owaspjapan/

 

※個人的に印象に残ったことを赤字にしております(怒られそうですが)

 

--------------------------
◆[Opening]ご注意 
--------------------------
録音録画 OK
個人の撮影 NG (ただし登壇者はOK)
CPEの申請は最後にやります


自分の管理外への攻撃はダメ!(※攻撃とみなされるものもダメ)
脆弱性のある環境をグローバルにださない

--------------------------
◆[Opening]OWASP FlagShipProjectの説明
--------------------------
・ZAP       →脆弱性診断、プロキシ
Dependency Check→Java .Net 対応
・OWASP TOP10
・TestingEnviroment
・OWTF
*SecretyShepherd →新しいプロジェ、トレーニング向け
https://www.owasp.org/index.php/OWASP_Security_Shepherd
・ModSecurityCoreRule→ModSecurity関連
*ASVS →アセスメントの基準作成
*TestingGuide →診断項目
*スキルマッププロジェクト →脆弱性診断のレベル担保

 

--------------------------
◆[1]OWASP TOP10を用いた脆弱性対応
--------------------------

対策はProactiveControlsのドキュメント参照


WebGhotに脆弱なコードあるからコードが必要な場合さがせばよい
Spring→SpringSecurityFWがある(組み込め!)

ORマッパよりFWのセキュリティ対策機構のほうが堅牢


--------------------------
◆[2]安全な権限設計
--------------------------
最小権限が基本だす

 

最低限の権限
最低限の期間
    ^^^^^

ビジネスロジックがらみ
ツール検出困難→修正も困難なケースが多い
ユーザ権限と対応画面一覧をエクセルでまとめてアクセス制御系を潰す
そもそも論、サービス設計、仕様バグに至る可能性がある
パラメタ操作で権限昇格できるパターンなどはツール検出困難→診断員の経験に依存

・攻撃例
権限を越えた、強制ブラウズできるか
権限を越えた、強制ダウンロードできるか
?FileNameをクエリ指定でDLできるか、また解析できるクエリか
権限越えをできるか(管理ユーザ権限、一般ユーザ権限、別ユーザ権限)
パラメータ操作(Getパラ、Postパラ、Cookie

・対策例
外部入力値でアクセス制御を行わない=サーバ側で検証可能な値を使う
デフォルトは全部拒否
最小権限
FrameWorkのACLをつかいましょ(自作やめましょ~)

リスクアセスメント的アプローチをとりましょう
画面単位の設計→データ単位の設計へ※脅威の明確化
レコード単位、カラム単位、テーブル単位でデータの設計を考えてみる
作成契機をかんがえる
削除契機をかんがえる

※オブジェクトがいつNewしてDestoroyして触れるのは誰なのか

 

・検証/維持
テストコードに権限検証も入れましょう~
権限表を作る
権限表を検証できるテストコードをテスト要件に入れる


--------------------------
◆[3]ZAP
--------------------------
管理外への攻撃送信、ダメ、ゼッタイ
ウィルス検知系の検知アラートあがるかも

次リリースでアクセス制御系の検査入る。現行で試せる。

 

--------------------------
◆[4]OWASPBWAを用いた教育
--------------------------

BWA=BrokenWebApplication


教育するにあたり対象層と到達目標を常に意識したほうがよい
問題の粒度、難度は受講者が自力で解ける程度がよい
→モチベーションの維持のため

 

振り返りの重要性
→1を解いて4を解くとあ~って分かる感じにする

 

合宿:3日でXSS、RCE、SQLiを習得(さすが♪)
演習:週1.5H*2ヶ月で同じメニューを完遂(1.5*8=12Hくらい?)

→合宿部隊とは別に個別教育した

 

合宿など開催場所のNW環境が見えない場合、
演習環境を提供したほうがよい(VM配布による各自のローカル閉鎖環境のほうが楽)
デモ大事とにかくデモ作れ

 

--------------------------
◆[5]開発プロジェクトとセキュリティ推進(OWASP SAMM)
--------------------------
大事なのは、「定量化、可視化」

 

各レイヤーの要員が多層的にセキュアにする
他人に説明するときに可視化されているものがある(グラフなど)と説得しやすい

何か基準(アセスメント系)を作る場合、どこかに元ネタになるドキュメントあるので
OWASPのドキュメントをよく探すのがよい

 

企業内のセキュリティの仕事は色々な玉が飛んでくる
それらへのアドバイザリ的なお仕事が多い
利便性の維持とセキュリティの両立を考える

開発⇔運用の分断があってはダメ
フィードバックが必要
ヒアリング⇔ロードマップ作成は大変

 

悪いところだけでなく、いいところも合わせてレビューする!
大きいPRJの場合スモールスタートで小さく始めて、改善する方向がよいのでは?


--------------------------
◆[Closing] SHIFT LEFTの重要性
--------------------------
OWASPは手立て(方法、情報)を提供している


でも、モチベーションも大事
→セキュリティが開発のダメ出しになり、心のよりどころにならない
→セキュリティが絵空事になっている(工数やお金がないからできない)

OSI参照モデル物理層以外は全部ソフト
前段階で高頻度で見直すことが必要(レビュー、テスト、)

→楽にできる仕組み→自動化、流用 

英語で言えば、SHIFT LEFT

 

 

うーん、おなかいっぱいな一日でした。

またあしたから、もっと手を動かして、よく見て、地道にがんばりまーす。

OWASP World Tour 2017 Tokyo #1

おそくなりましたがレポあげます。

 

◆会場の雰囲気

ハッカーとか、セキュリティとか、ダーティなイメージだけど、

こわい人いなかったし、こわい雰囲気でもなかった。女性の方もちらほら。

 

◆対象層

 開発、運用、シス管、QA、CISO、学生?など幅広い。

セキュリティ=「よくわからない、工数ない」から、

自分の現場で明日使えるセキュリティを持ち帰ることができる。

少しでも興味があるなら、無料だし参加するものよさそう。 

なお、ハンズオンの無料セミナーがまた10月?あるそう。

 

◆準備

特になし(今回は座学のみ演習なしのため)

持っていったもの

PC、電源、スマホ(会場でテザリング用)

 

◆発表内容

当日のスライド下記にすべてあり

※ただしその場で差しこまれた?スライドは入ってない模様

https://speakerdeck.com/owaspjapan/

 

スライド中で出てくるドキュメントは本家よりさがせる

https://www.owasp.org/index.php/Japan

 

各発表のメモは次

 

Kalilinux に ibus-anthy を入れる(再び)

再インストールした際にうまくいかない事案勃発したのでめも

 

$ apt-get install uim uim-anthy

$  apt-get install ibus-anthy

$ reboot

 

設定→Region&Langage→入力ソース→+→日本語→日本語(Anthy)を選択

Super+Spaceで切り替え

 

以上です!

Kali Linux How to adjust top menu bar size

It's a small thing but I can't find... :P

$ uname -a

Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux

$ cd /usr/share/themes/Kali-X/gnome-shell

$ vi gnome-shell.css

f:id:pwn300:20170820160539p:plain

 

restart gnome-shell

ALT + F2

r + Enter

 

f:id:pwn300:20170820160545p:plain

You got big top bar

 

以上、Kali Linux!のトップバーのフォントを大きくする方法でした。。

以上、現場からお送りしましたん!

・すぽんさー

Kali Linux に VirtualBox を入れる

難産だった。。。

 

・公式よりパッケージDL

http://www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html?ssSourceSiteId=otnjp

 

・インストール

$ dpkg -i *virtualbox*.deb

->ここで問題なくインストールできた方はそのまま起動

->インストール失敗

$ apt-get install -f

あとこちら確認

Linux_Downloads – Oracle VM VirtualBox

 

$ vi /etc/apt/sources.list

deb http://download.virtualbox.org/virtualbox/debian jessie contrib
# https://www.virtualbox.org/wiki/Linux_Downloads

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | apt-key add

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- |  apt-key add

$ apt-key fingerprint

$ apt-get update

$ apt-get -y install virtualbox-5.1

->ダメ

 

・私の環境の場合以下のエラー

依存: libpng12-0 (>= 1.2.13-4) しかし、インストールすることができません

依存: libssl1.0.0 (>= 1.0.0) しかし、インストールすることができません
依存: libvpx1 (>= 1.0.0) しかし、インストールすることができません

依存: libvpx3 (>= 1.5.0) しかし、インストールすることができません
推奨: libsdl-ttf2.0-0 しかし、インストールされようとしていません
推奨: dkms しかし、インストールされようとしていません
推奨: linux-headers しかし、インストールすることができません

 

$ uname -a
Linux kali 4.9.0-kali4-amd64 #1 SMP Debian 4.9.30-2kali1 (2017-06-22) x86_64 GNU/Linux
の環境です

 

・以下のURLより各PKGDL

libvpx3をdebianでみつけられませんでした。

https://packages.debian.org/jessie/amd64/libpng12-0/download

https://packages.debian.org/jessie/amd64/libvpx1/download

https://packages.debian.org/jessie/amd64/libssl1.0.0/download

https://packages.ubuntu.com/ja/xenial/amd64/libvpx3/download

 

$ md5sum lib*

$ apt-get install dkms

$ dpkg -i libpng12-0_1.2.50-2+deb8u2_amd64.deb libssl1.0.0_1.0.1e-2+deb7u21_amd64.deb libvpx1_1.3.0-3_amd64.deb libvpx3_1.5.0-2ubuntu1_amd64.deb

 

$ apt-get -y install virtualbox-5.1

$ apt-get update

$ VirtualBox

 

起動しますたん!(ぜえぜえ)

 

 

以上、現場からお送りしましたん!

・すぽんさー

Kali Linux にOpen Officeを入れる

 インストール要件を確認する

JA/translation/SystemRequirements/3.x - Apache OpenOffice Wiki

インストーラーダウンロード

Apache OpenOffice Downloads - Official Site

Apache_OpenOffice_4.1.3_Linux_x86-64_install-deb_ja.tar.gz

が落ちてくるので

 

$ tar -zxvf  Apache_OpenOffice_4.1.3_Linux_x86-64_install-deb_ja.tar.gz

$ cd DEBS

$ dpkg -i *.deb

$ cd desktop-integration

$ dpkg -i *.deb

$ apt-get update

$ apt-get upgrade

 

アプリケーション→15→オフィスにある

f:id:pwn300:20170715222843p:plain

 

 

以上、現場よりお送りしましたん!

・すぽんさー

Linux環境を充実

・XPAD

ウィンドウズの付箋のようなもの

$ apt-get  install xpad

$ xpad

で、起動

Ctrl+ドラッグで移動

f:id:pwn300:20170715202847p:plain

 

・krita

画像編集ソフト、漫画用の機能などもあるっぽい。

ちょっと使った感じ、なかなかよい。

もう少し単機能でMSPAINT風のものを探したがいいのがなかった。

$ apt-get install krita

画像ファイル選択→右クリック→他のアプリ→kritaで編集

f:id:pwn300:20170715202850p:plain

 

・スクショ

Fn+PrintScreen

前画面

Fn+Alt+PrintScreen

最前列ウィンドウ

 

Beep音消す

五月蝿いので。。。

$ vi etc/inputrc

$ set bell-style none

# のコメント行をはずす

 

$ vi ~/.bashrc

if [ -n "$DISPLAY" ]; then xset b off fi
を追加
$ source ~/.bashrc
$ xset q | grep bell bell percent: 0 bell pitch: 400 bell duration: 100
init 6
Beep音がきえてればOK

 

以上、現場よりお送りしましたん!

・すぽんさー