Submit Search
Upload
脆弱性検査ツールってどうよ
•
31 likes
•
10,440 views
M
Masakazu Ikeda
Follow
2015/9/30ささみ発表資料
Read less
Read more
Internet
Report
Share
Report
Share
1 of 31
Download now
Download to read offline
Recommended
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
Recommended
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Burp Suite 2.0触ってみた
Burp Suite 2.0触ってみた
Yu Iwama
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
mkoda
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
shigeki_ohtsu
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
dcubeio
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
インフラCICDの勘所
インフラCICDの勘所
Toru Makabe
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjp
sonickun
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
sonickun
More Related Content
What's hot
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
mkoda
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
shigeki_ohtsu
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
dcubeio
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
インフラCICDの勘所
インフラCICDの勘所
Toru Makabe
What's hot
(20)
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
AWS CLIでAssumeRole
AWS CLIでAssumeRole
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解する
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Ansibleで始めるインフラ構築自動化
Ansibleで始めるインフラ構築自動化
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
インフラCICDの勘所
インフラCICDの勘所
Viewers also liked
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjp
sonickun
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
sonickun
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
Kali LinuxとMetasploitable2で遊ぼう
Kali LinuxとMetasploitable2で遊ぼう
monochrojazz
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
sonickun
Metasploitでペネトレーションテスト
Metasploitでペネトレーションテスト
super_a1ice
コンピュータエンジニアへのFPGAのすすめ
コンピュータエンジニアへのFPGAのすすめ
Takeshi HASEGAWA
Viewers also liked
(7)
ダークネットのはなし #ssmjp
ダークネットのはなし #ssmjp
ARPスプーフィングによる中間者攻撃
ARPスプーフィングによる中間者攻撃
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
Kali LinuxとMetasploitable2で遊ぼう
Kali LinuxとMetasploitable2で遊ぼう
進化するWebトラッキングの話 #ssmjp
進化するWebトラッキングの話 #ssmjp
Metasploitでペネトレーションテスト
Metasploitでペネトレーションテスト
コンピュータエンジニアへのFPGAのすすめ
コンピュータエンジニアへのFPGAのすすめ
Similar to 脆弱性検査ツールってどうよ
アジャイルテストを、壮絶に、考える。
アジャイルテストを、壮絶に、考える。
Dai FUJIHARA
Automation test.ssf alpha
Automation test.ssf alpha
ryuji koyama
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
SGT2013 技術トークス「アジャイルテスティング」
SGT2013 技術トークス「アジャイルテスティング」
yasuohosotani
とある診断員とAWS
とある診断員とAWS
zaki4649
phpcon kansai 20140628
phpcon kansai 20140628
ichikaway
アジャイル×テスト開発を考える
アジャイル×テスト開発を考える
yasuohosotani
Software Test Basic
Software Test Basic
Akinari Tsugo
テスト自動化とアーキテクチャ
テスト自動化とアーキテクチャ
Toru Koido
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
yamaguchi_2048
ブラウザテスト自動化入門
ブラウザテスト自動化入門
takahiro sakuma
【システムテスト自動化カンファレンス2013 LT】 Data Driven Development (仮)
【システムテスト自動化カンファレンス2013 LT】 Data Driven Development (仮)
Kotaro Ogino
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
実証試験総論(午後の部)(大川弥生)
実証試験総論(午後の部)(大川弥生)
robotcare
Dependable Software DAY
Dependable Software DAY
Keiju Anada
I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介
Mitsuhiro Kouta
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
robotcare
Continuous delivery chapter4
Continuous delivery chapter4
favril1
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
CODE BLUE
Similar to 脆弱性検査ツールってどうよ
(20)
アジャイルテストを、壮絶に、考える。
アジャイルテストを、壮絶に、考える。
Automation test.ssf alpha
Automation test.ssf alpha
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
SGT2013 技術トークス「アジャイルテスティング」
SGT2013 技術トークス「アジャイルテスティング」
とある診断員とAWS
とある診断員とAWS
phpcon kansai 20140628
phpcon kansai 20140628
アジャイル×テスト開発を考える
アジャイル×テスト開発を考える
Software Test Basic
Software Test Basic
テスト自動化とアーキテクチャ
テスト自動化とアーキテクチャ
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
XSSの評価基準とRIPSプラグイン的なものを作った
XSSの評価基準とRIPSプラグイン的なものを作った
ブラウザテスト自動化入門
ブラウザテスト自動化入門
【システムテスト自動化カンファレンス2013 LT】 Data Driven Development (仮)
【システムテスト自動化カンファレンス2013 LT】 Data Driven Development (仮)
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
実証試験総論(午後の部)(大川弥生)
実証試験総論(午後の部)(大川弥生)
Dependable Software DAY
Dependable Software DAY
I-C-I Webセキュリティサービスのご紹介
I-C-I Webセキュリティサービスのご紹介
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
Continuous delivery chapter4
Continuous delivery chapter4
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
[CB16] CGCで使用した完全自動脆弱性検知ツールを使ったセキュリティの分析とその効果 by InHyuk Seo & Jason Park
脆弱性検査ツールってどうよ
1.
セキュリティ自動検査ツールって ぶっちゃけどうなのよ? 2015/9 ssmjp ikepyon
2.
アジェンダ • 検査の種類/概要 • 検査ツールの脆弱性検出手法 •
検査ツールの向き不向き
3.
検査の 種類/概要
4.
検査手法 • 動的検査 • ブラックボックステストや、Dynamic
Application Security Test(DAST)とも呼ばれることもある • 静的検査 • ホワイトボックステストや、Static Application Security Test(SAST)とも呼ばれることもある
5.
動的検査 • 稼働しているアプリケーションに対して脆弱性検査を実施 • テストリクエストを送信し、そのレスポンスを解析して脆 弱性の有無を判断 •
テストリクエストは正常系のリクエストを元に作成する テストリクエスト http://example.com/?param=“><script>alert(1)</script> テストレスポンス
6.
動的検査の特徴 • 脆弱性が存在することを確認、証明できる • 脆弱性のあるページとパラメーターがわかる •
以下のような脆弱性が検出出来る • SQLインジェクション • XSS • セッションフィクセーション • パストラバーサル • コマンドインジェクション • ビジネスロジックの脆弱性 • レースコンディション • バッファオーバーフロー
7.
動的検査の欠点 • ソースコードのどこを直せばいいのかわからない • すべてのコードフローを検査するためにテストケース の洗い出しなど事前準備が必要 •
内部構造に依存する問題(暗号化方法、特定の条件で 発現する脆弱性など)を検出しづらい • 稼働するアプリケーションが必要なため、実施できる 工程がテスト工程以降になってしまい手戻りが大きい
8.
静的検査 • ソースコード、設定ファイルに対して脆弱性検 査を実施 • 要するにソースコードレビューと設定レビュー
9.
静的検査の特徴 • 脆弱性がある可能性を検出する(実際には脆弱性が無い場合もある) • 脆弱性を直すべきコードの場所をピンポイントで指摘できる •
コードをすべて確認するため網羅性が高い • コードだけで検査が出来る • 以下のような脆弱性を検出出来る • SQLインジェクション • XSS • パストラバーサル • コマンドインジェクション • 暗号化の問題 • 設定の問題 • バッファオーバーフロー
10.
静的検査の欠点 • 検出された脆弱性が必ずしも悪用可能なわけで は無い(過剰検知が出てくる) • ビジネスロジックに依存するものなど仕様や設 計に依存する脆弱性は検出できない •
動的検査に比べ、セキュリティの知識だけで無 くプログラミングの知識など必要なスキルが多 い
11.
手動検査の問題点 • セキュリティ検査にはさまざまな専門知識が必 要なため、出来る人が限られる • 人手による検査は大きな工数がかかる
12.
自動検査ツールの利点 • 様々な知識を持った専門家で無くてもツールを 使うことで、セキュリティ検査を実施できる • 自動で検査を行うため、作業工数を少なく出 来る •
多くのツールには修正方法の解説もあるため、 セキュリティがわからない開発者でも修正方法 を知ることが出来る
13.
自動検査ツールの問題点 • ツールの判断だけでは過剰検知が発生する • 悪用するために複雑な手順、特殊な攻撃パター ンが必要な脆弱性は検知できない
14.
検査ツールの 脆弱性検出手法
15.
動的検査ツールの検査手順 • 正常系のリクエストを記録 • 必要に応じてセッション維持のためのリクエストを記録 •
TOPのURLを設定すると自動でリクエストを生成記録 するツールもある • リクエストだけで無くレスポンスを記録し、テストに使 用するツールもある • テストを送信
16.
動的検査ツール • 文字列検索型 • テストリクエスト送信型 •
正常レスポンス確認型 • 複数のテストリクエスト送信型 • バックコネクション型
17.
文字列検索-テストリクエスト送信型 • テストリクエストを送信し、特定の文字列が存 在すると脆弱性があると判断 • 検出出来る脆弱性は以下の通り •
SQLインジェクション • XSS • セッションフィクセーション • パストラバーサル • コマンドインジェクション • バッファオーバーフロー
18.
文字列検索-正常レスポンス確認型 • 最初に記録したレスポンスから特定の文字列を 検索し、その文字列が存在/存在しない場合に 脆弱性があると判断 • 検出出来る脆弱性は以下の通り •
CookieにSecure属性が無い • CookieにHttponly属性が無い
19.
複数のテストリクエスト送信型 • 複数のテストリクエストを送信し、期待通りの レスポンスを返すと脆弱性があると判断 • 検出出来る脆弱性は以下の通り •
SQLインジェクション
20.
複数のテストリクエスト送信型 • 検査方法例 1. 「<入力データ>’
and ‘a’=‘a」をパラメータに代入して送 信。 2. 「<入力データ>’ and ‘a’=‘b」をパラメータに代入して送 信。 • 脆弱性が存在すると、リクエスト1のレスポンスは正常系の レスポンスと同じ且つ、リクエスト2のレスポンスは正常系 のレスポンスと異なる
21.
バックコネクション型 • サーバー側から、接続を要求するようなテスト リクエストを送信し、サーバーからの接続があ れば、脆弱性があると判断 • 検出出来る脆弱性は以下の通り •
OSコマンドインジェクション • リモートファイルインクルージョン
22.
静的検査ツールの検査手順 • ソースコード、ライブラリをツールに登録 • ツールによってはコンパイル後のモジュール を登録
23.
静的検査ツール • ソースコードから、コールフローを作成 • 入力から出力のコールフロー中に脆弱性対策が 行われているかを確認。 •
対策が行われていないと脆弱性を検出
24.
セキュリティ対策の判断基準 • エスケープ、バリデーションなどのセキュリティ対 策になるメソッド/関数を事前にルールに登録してお き、コールフロー中でそれが使用されているか確認 • データフローを解析し、データが取り得る値を認識 し、出力メソッド/関数へ渡されるデータが脆弱性 を引き起こすか確認 •
問題のあるメソッド/関数を文字列検索
25.
検査ツール の 向き不向き
26.
動的検査ツールの問題点 • ゲーム系のセキュリティ検査には向かない • リクエストはジョブのキューに溜めて、実際の処理が バッチでおこなわれるようなものはバッチ処理に脆弱 性があっても検出出来ない •
同一処理を行える回数に制限があるアプリケーション は検査できない • ツールの設定がアプリに依存して変わるのである程度 のノウハウが必要
27.
静的検査ツールの問題点 • 言語、ライブラリ、フレームワークに統一性が 無いと、カスタムルールが作れないため、精度 の高い検査を行うために手間がかかる • 脆弱性の誤検知が多いため、結果の精査が必 ず必要であり、精査にはセキュリティの知識、 コーディングの知識が必要
28.
動的検査ツールの導入向き不向き • ツールの使い方がうまく展開できないことが多 いので、開発者が多いとうまく使いこなせない 所が多い気がする • QAチームがある場合、QAの一環で実行しても らえると、うまくいくことが多い •
開発を外注している場合、受入テストに使用す るとよかったりする
29.
静的検査ツールの向き不向き • 開発者のレベルが低いと、脆弱性が検出されすぎ、 検出結果の精査も出来ないため、修正出来ない • 自組織で開発していない(開発を外注している) 場合、導入による効果がほぼ無い •
開発者のレベルが高いと、ケアレスミスによる 脆弱性しか検出されなくなるため、テスト前に 脆弱性を修正できるようになる
30.
まとめ • 動的検査ツールは、QAや受入テストに向いて いる • 静的検査ツールは開発チーム以外に導入するこ とは向かない •
ツールだけですべての脆弱性を検出出来るわけ では無いので過信しない
31.
“ご利用は計画的に”
Download now