読者です 読者をやめる 読者になる 読者になる

素人志向

ただの備忘録

「第17回セキュリティさくら」に参加しました。

勉強会

第17回セキュリティさくらに参加しました。

「セキュリティさくら」とは、熊本で行われている情報セキュリティの勉強会です。
社会人の方とも交流出来る良い機会なので、都合さえあえば参加しています。
今回は、学生としては最後の参加なのでかなり感慨深いものがあります。

この勉強会では、休憩時間中にスイーツ(!)が食べられるんですよ。うまうま。
勿論、講演の方もかなり濃いもので、このような講演が熊本で聴講出来るというのはとても有難いものです。

f:id:null_poga:20170318155942j:plain

13:00~ 受付開始
バスが遅れたが、何とか間に合った感じ。

13:30~13:40 開会挨拶、勉強会紹介、諸注意
13:40~14:30 自己紹介(1人1,2分程度)
毎回緊張します。

14:30~14:40 休憩・機器調整
寝坊した友人はまだ来ない。爆睡してるやん。

以下、備忘録
講演「Webセキュリティ入門」(はせがわようすけ氏)
セキュリティ業界はIT業界のかたすみでひっそりと(?)
→セキュリティ業界にも様々。フォレンジック、ネットワーク監視、マルウェア解析、Webセキュリティ
講師の方はWebセキュリティの会社の方。
CSIRT(第15回の勉強会で聞いたやつだ)
セキュリティ企業はより専門性、技術力を問われる時代
セキュリティ技術者は絶対的に不足

脆弱性とは?
脆弱性はただのバグ→バグの少ないプログラムは脆弱性も少ない。

脆弱性の種別
パストラバーサル

脆弱性の名称がひとによって違うと、正しく判断できない。
CWE→脆弱性の種類を識別するための共通の脆弱性タイプの一覧
こういう識別体系があるということだけを覚えておくといい。

CVE→個別製品中の脆弱性を一意に識別するための番号
CWEと異なり広く使われている。
JVN https://jvn.jp/
CVSS→脆弱性の深刻度をスコアリングして評価
脆弱性がどれくらい危険かを客観的、定量的に判断する指標になる

脆弱性を一意に特定し脅威を定量的に判断する能力
脆弱性かどうかにかかわらず問題であることを認識できる能力

実際の脆弱性
CSRF

SQLインジェクション
対策→プリペアードステートメント

脆弱性の見つけ方
ウェブ健康診断仕様(安全なウェブサイトの作り方(IPA)別冊)
「こういう入力に対して正常に動作しなければ脆弱性につながる」みたいな具体例を掲載
運営者・開発者に対しての簡単な基準
「あれ?何かおかしい?」に気付く感性

見れる範囲は徹底的に見る
メモを残そう

診断ツール
Telerik Fiddler
Burp Suite
OWASP ZAP
sqlmap
ratproxy
skipfish
IPA 安全なウェブサイトの作り方
体系的に学ぶ安全なWebアプリケーションの作り方
HTTPの教科書
「ローカルProxy」と呼ばれるツール。

脆弱性をみつけて報告しても、一般の連絡先だと問題点が伝わらないことも。
「間に合ってます。(ガチャン)」
IPAに報告
IPAでは
・ソフトウェアの脆弱性
・Webアプリケーションの脆弱性

Unicodeの双方向機能
安全な開発に銀の弾丸はない

他者のWebアプリケーションの脆弱性を勝手に探すことは危険性を伴う。

楽しみながらプログラミングしよう。

16:30~17:00 LTタイム
@aeoe39950426「DNSサーバの運用を考える」
DNSゾーン転送要求
DNSキャッシュポイズニング
DNSリフレクション
DNS水責め攻撃
DNSSEC
DNSサーバへの攻撃は通常の通信と見分けがつきにくいため対処が難しい。

@tomo_masakura

Webセキュリティで何をすればいいのかという最初のきっかけをつかむには、とても良い講演でした。今から懇親会です。たのしみ。