0
「脆弱性をみつける」から 「脆弱性をなくす」へ セキュリティ・キャンプ 2015 全国大会 チュータープレゼン
% whoami 渡部 裕 (わたなべ ゆたか) ◦ ゆったん ◦ Twitter : @ytn86 筑波大学 情報科学類2年 ◦ いわゆるAC入試で入学 セキュリティ・キャンプ 2013 ソフトウェアセキュリティクラス セキュリティ・キャンプ...
% whoami ゲヒルン株式会社というところで非常勤職員しています ◦ Webアプリケーションの脆弱性診断とか ◦ Joinしてから1年と2ヶ月くらい経ちました
% whoami ~高校 ◦ ソフトウェアセキュリティ中心 ◦ バイナリよんだり, 目grepしたり 大学入学後 ◦ Webセキュリティ中心に幅広く ◦ Pwnしたり, XSSしたり ◦ セキュリティだけじゃなくて開発とかも
本題
話すこと 脆弱性をみつけること 脆弱性をなくすこと
「脆弱性をみつけること」
脆弱性をみつけること みなさんは「何のために」脆弱性をみつけますか?
脆弱性をみつけること CTF ◦ 攻撃する(フラグを得る, 攻防戦なら他のチームの妨害をする, など)ため 現実 ◦ 世の中をよりセキュアにするため ◦ 報奨金を得るため ◦ For bad purpose ◦ 「俺すげーだろ」って見せびらかす...
私にとって「脆弱性を見つけること」とは 綺麗事かもしれないけど、「世の中を安全にする」ため ◦ 「一般ユーザがより安全にサービスを使える世界にしたい」という昔からの夢 ◦ 「脆弱性をなくす」ことにも繋がっている 世の中における「自分の存在価値」...
どこで脆弱性を見つけるのか 主に「Bug Bounty制度」を持つサービス ◦ ルール従えば, 訴えられるようなことはない ◦ うまくいけばついでに報奨金ももらえる ◦ 制度を持たないサービスだと, 訴えられそうでこわい ◦ それでも見つけてし...
どこで脆弱性を見つけるのか 脆弱性診断(仕事) ◦ やっぱり仕事でやっている時間が一番多い ◦ もちろん責任は大きい ◦ その分モチベーションも上がるんだよね ◦ 好きなことをやって, 行きていける ◦ やっぱりこれが大きいし, 良い
「脆弱性をなくすこと」
「脆弱性をなくすこと」とは 「世の中を安全にする」こと ◦ ミッション 「みんながより安全にサービスを使える」ようにすること ◦ 「悪意のある第三者による被害の可能性」を減らす 私自身が目標としていること ◦ セキュリティに興味を持ち、キャンプ...
脆弱性をなくす すべての脆弱性をなくすことはできるとは思っていない ◦ 正直な話 脆弱性を見つけられる前に自分で見つける ◦ そして修正することで脆弱性をなくす 企業は診断を受ける事が多いけれど, 個人だと難しい ◦ なら個人ユーザ向けにつくっ...
脆弱性をなくすために 脆弱性スキャナの開発 ◦ AREという大学のプロジェクトとして 修正支援も行う ◦ 日本語で修正支援できるものはないはず
脆弱性をなくすために Pythonライブラリとして開発 ◦ 各々が拡張しやすいように まだ実装始めたばかりなのでできてません… ◦ 年度内までにはある程度実装したい
脆弱性をなくすために 対象とする脆弱性 ◦ XSS (Reflected, Stored) ◦ SQL Injection ↑優先事項 ↓余裕があれば ◦ DOM Based XSS ◦ Cookieまわり ◦ ディレクトリトラバーサル ◦ X...
余談
余談 あれ, もしかしてZAPが大体実現したたりする…?
余談 ZAP「やっとるでw」
余談 (´;ω;`)ブワッ
余談
余談 Survey不足でした ◦ ZAPの存在忘れてた… 今後も実装自体は進めていく ◦ その中でZAP等他にはないものを実装して差別化していきたい ◦ 日本語レポートは対応してなかったはず
脆弱性をなくすために AREの研究機関は来年1月まで ◦ 年内には動くようにしたい
おわりに Webセキュリティは奥が深い ◦ プロたちに消されそう… ▂▅▇█▓▒░('ω')░▒▓█▇▅▂ ◦ プロに消されないプロを目指して (自明)セキュリティといっても, 幅はとても広い ◦ 一つの分野だけじゃなくて, 2つ, 3つ…と手...
ご清聴ありがとうございました!
Upcoming SlideShare
Loading in...5
×

セキュリティ・キャンプ 2015 全国大会 チュータープレゼン #seccamp

314

Published on

セキュリティ・キャンプ2015全国大会の1日目のチュータープレゼンテーションにて発表した資料です, 一部文字列を伏せています.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
no profile picture user

  • Be the first to comment

No Downloads
Views
Total Views
314
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "セキュリティ・キャンプ 2015 全国大会 チュータープレゼン #seccamp"

  1. 1. 「脆弱性をみつける」から 「脆弱性をなくす」へ セキュリティ・キャンプ 2015 全国大会 チュータープレゼン
  2. 2. % whoami 渡部 裕 (わたなべ ゆたか) ◦ ゆったん ◦ Twitter : @ytn86 筑波大学 情報科学類2年 ◦ いわゆるAC入試で入学 セキュリティ・キャンプ 2013 ソフトウェアセキュリティクラス セキュリティ・キャンプ 2015 チューター
  3. 3. % whoami ゲヒルン株式会社というところで非常勤職員しています ◦ Webアプリケーションの脆弱性診断とか ◦ Joinしてから1年と2ヶ月くらい経ちました
  4. 4. % whoami ~高校 ◦ ソフトウェアセキュリティ中心 ◦ バイナリよんだり, 目grepしたり 大学入学後 ◦ Webセキュリティ中心に幅広く ◦ Pwnしたり, XSSしたり ◦ セキュリティだけじゃなくて開発とかも
  5. 5. 本題
  6. 6. 話すこと 脆弱性をみつけること 脆弱性をなくすこと
  7. 7. 「脆弱性をみつけること」
  8. 8. 脆弱性をみつけること みなさんは「何のために」脆弱性をみつけますか?
  9. 9. 脆弱性をみつけること CTF ◦ 攻撃する(フラグを得る, 攻防戦なら他のチームの妨害をする, など)ため 現実 ◦ 世の中をよりセキュアにするため ◦ 報奨金を得るため ◦ For bad purpose ◦ 「俺すげーだろ」って見せびらかすため(Webサイトの改竄とか) 等 ◦ Etc…
  10. 10. 私にとって「脆弱性を見つけること」とは 綺麗事かもしれないけど、「世の中を安全にする」ため ◦ 「一般ユーザがより安全にサービスを使える世界にしたい」という昔からの夢 ◦ 「脆弱性をなくす」ことにも繋がっている 世の中における「自分の存在価値」を見つけるため ◦ 詳細は割愛
  11. 11. どこで脆弱性を見つけるのか 主に「Bug Bounty制度」を持つサービス ◦ ルール従えば, 訴えられるようなことはない ◦ うまくいけばついでに報奨金ももらえる ◦ 制度を持たないサービスだと, 訴えられそうでこわい ◦ それでも見つけてしまったら報告する それっぽい挙動を見つけたサービス ◦ あまり深入りはしない <CENSORED>
  12. 12. どこで脆弱性を見つけるのか 脆弱性診断(仕事) ◦ やっぱり仕事でやっている時間が一番多い ◦ もちろん責任は大きい ◦ その分モチベーションも上がるんだよね ◦ 好きなことをやって, 行きていける ◦ やっぱりこれが大きいし, 良い
  13. 13. 「脆弱性をなくすこと」
  14. 14. 「脆弱性をなくすこと」とは 「世の中を安全にする」こと ◦ ミッション 「みんながより安全にサービスを使える」ようにすること ◦ 「悪意のある第三者による被害の可能性」を減らす 私自身が目標としていること ◦ セキュリティに興味を持ち、キャンプに参加した理由
  15. 15. 脆弱性をなくす すべての脆弱性をなくすことはできるとは思っていない ◦ 正直な話 脆弱性を見つけられる前に自分で見つける ◦ そして修正することで脆弱性をなくす 企業は診断を受ける事が多いけれど, 個人だと難しい ◦ なら個人ユーザ向けにつくっちゃおう
  16. 16. 脆弱性をなくすために 脆弱性スキャナの開発 ◦ AREという大学のプロジェクトとして 修正支援も行う ◦ 日本語で修正支援できるものはないはず
  17. 17. 脆弱性をなくすために Pythonライブラリとして開発 ◦ 各々が拡張しやすいように まだ実装始めたばかりなのでできてません… ◦ 年度内までにはある程度実装したい
  18. 18. 脆弱性をなくすために 対象とする脆弱性 ◦ XSS (Reflected, Stored) ◦ SQL Injection ↑優先事項 ↓余裕があれば ◦ DOM Based XSS ◦ Cookieまわり ◦ ディレクトリトラバーサル ◦ XSSI ◦ Etc…
  19. 19. 余談
  20. 20. 余談 あれ, もしかしてZAPが大体実現したたりする…?
  21. 21. 余談 ZAP「やっとるでw」
  22. 22. 余談 (´;ω;`)ブワッ
  23. 23. 余談
  24. 24. 余談 Survey不足でした ◦ ZAPの存在忘れてた… 今後も実装自体は進めていく ◦ その中でZAP等他にはないものを実装して差別化していきたい ◦ 日本語レポートは対応してなかったはず
  25. 25. 脆弱性をなくすために AREの研究機関は来年1月まで ◦ 年内には動くようにしたい
  26. 26. おわりに Webセキュリティは奥が深い ◦ プロたちに消されそう… ▂▅▇█▓▒░('ω')░▒▓█▇▅▂ ◦ プロに消されないプロを目指して (自明)セキュリティといっても, 幅はとても広い ◦ 一つの分野だけじゃなくて, 2つ, 3つ…と手を出してほしい ◦ 視野を狭くすることは, 成長を妨げる事にもなる
  27. 27. ご清聴ありがとうございました!

  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×