どなブロ

エンジニアァのブログです

サポーターズCoLab - セキュリティ入門 に行ってきました

これから趣味とかでwebサービスを作る上でセキュリティを知る必要もあるかな〜と思って勉強会に行ってきました。 以下メモです〜

supporterzcolab.com

  • 山本ひろまさ さん @mit_ti0901st
  • 社外勉強会
    • MBSDセキュリティ勉強会

セキュリティってどんなもの?

  • 情報セキュリティ3大要素
    • 完全性
      • データが改竄されないこと
      • Ex) デジタル署名
    • 機密性
      • 情報漏えい防止
      • PGP -> メールの暗号化
      • セキュリティ区画への立入禁止 -> 物理的に
    • 可用性
      • いつでも使える状態にすること
      • システム冗長化 -> webサーバを複数用意するとか
      • UPS -> 停電時に安全にシャットダウンする的な -> データが壊れるのを防ぐ

セキュリティ侵害を起こす原因

悪用可能なバグとは

  • バリデーションを設けていない -> 特殊文字エスケープ処理
  • 機密情報の受け渡し
    • POSTでなくGETを使っている
    • リクエストパラメータに平文が載ってる
  • 使用しているFrameworkのバージョンが古い
  • IPアドレス制限を行っていない -> イントラページへのアクセス
  • Dos,DDos攻撃への不備
  • SSL通信の設定不備 -> MITM攻撃(中間者攻撃)の危険

悪用された場合

  • 必ずログを取る(悪用される前に)
  • 警察
  • IPAの相談窓口

対策するということ

  • 新たな被害者を産まないようにする
    • 自分のサーバとかが踏み台になる可能性
  • トラフィックの圧迫を防ぐ

ユーザ側でできること

  • パスワードを複雑なものにする
    • しっかり複雑なものにしてれば定期的に変更する必要はない
    • 定期的な変更は意味ない、という研究結果
  • SSO
  • OS / ソフトウェアのバージョンを最新に
  • UACのコントロールレベルを一番強く
  • ランサムウェア感染に備え、バックアップを二重に

    脆弱性を手元で検証

  • 脆弱性を検証してみた」などで検索すると例がある
  • 環境は必ずVM
  • マルウェアを動かす時はSandbox環境で
  • Webアプリ系の検証にはDockerが便利
  • ランサムウェアの検証は中途半端な知識では絶対やらないこと
  • 検証に使えるフリーソフトウェア
    • OWASP ZAP
    • OWASP Broken Web Application
    • AppGoat / WebGoat
    • Metasploit Framework
      • 攻撃コード実証Framework
    • 他諸々

情報収集

  • Piyolog
  • The Register
  • Habrahabr
  • 黒林檎さん(twitterアカウント)

感想

  • ツールや情報収集の方法・サイトとかは知らなかったので知れてよかった
  • XSSとかSQLインジェクションとか代表的なもの、あぁ〜まぁわかる知ってるって感じだけど、ちゃんと内容と対策を把握すべきだと思った
  • 脆弱性の範囲がすごく広いからツールとかでちゃんと確認する必要がありそう
  • 今日は懇親会参加せず出てきちゃったけど次は参加しようかな〜

以上