20181117 NKC DAY 2018 1日目 勉強会 一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう！

1. 一般的な脆弱性の
概要・対策を知り、
ZAPで見つけてみよう！
宮城 正伸
Vulnerability
Detected...

2. Profile
・元 Webアプリケーション
脆弱性診断員
宮城 正伸
・OWASP Nagoya
スタッフ
・Github
たまに更新します
・得意な言語は
PythonとPHP
2

3. Agenda
・XSSの概要
・XSSの実演
・XSSの対策方法
・OWASP ZAPでXSSを見つける
・認証不備の概要
・認証不備の実演
・認証不備の対策方法
・OWASP ZAPで認証不備を見つける
・まとめ
3

4. XSSとは？
・クロスサイトスクリプティングの略称
・ユーザの入力値を適切に処理しないまま
そのまま出力している場合に問題が発生
・サーバに格納している値を適切に処理しないまま
そのまま出力している場合に問題が発生
4

5. XSSの怖いところ
・ユーザのセッション情報流出や、
個人情報の特定等も発生し得る点
・自分は何もしてなくても、
「加害者」となる場合がある点
・etc...
5

6. XSSの怖いところ
・Youtube XSS攻撃事例
引用：http://www.itmedia.co.jp/enterprise/articles/1007/06/news018.html
→不正な広告
→別サイトへリダイレクト
→デマニュースによる混乱
6

7. XSSの実演(一般)
DEMO
7

8. XSSの実装例(一般)
8

9. XSSの実演(悪用)
DEMO
9

10. XSSの実装例(悪用)
10
脆弱なページ
②XSS発火！
①偽リンククリック
③Cookie情報表示 ④攻撃者へCookie送信

11. XSSの対策方法
NG Case:
OK Case:
$user = $_GET['user'];
echo "ようこそ ". $user . "さん";
$user = htmlspecialchars($_GET['user']);
echo "ようこそ ". $user . "さん";
・ユーザからの入力値を信用しない！
ようこそ<script>alert(1)</script>さん
ようこそ<script>alert(1)</script>さん
11

12. OWASP ZAPで探す方法
DEMO
12

13. 認証不備とは？
・認証設定が適切になされていない状況を指す
→どんな状態のことを言うのか？
・単要素認証のみの認証機構等
→OWASP Top10 2017では非推奨
13

14. 認証不備の怖いところ
・関係者以外知らないはずのURLを・・・
→思わぬところから情報漏洩する可能性が
・パスワードリスト攻撃、辞書攻撃、
ジョーアカウント攻撃等に脆弱
→他のサイトでも使いまわしているID/PASSで
突破される危険性
14

15. 認証不備の実演
辞書攻撃ツールでWebアクセスを試行
15

16. 認証不備の実装例
認証失敗時、「IDが違います」や
「パスワードが違います」というのはNG
16

17. 認証不備の対策方法
・認証失敗時のメッセージ
・アカウントロック
・多要素認証機構を導入
→親切なのは考えもの
→外部の連絡手段で復旧等
→ワンタイムトークン、生体認証等
17

18. まとめ
脆弱性の概要を知り、対策方法を知ること！
→問題解決への近道
ツールの機能を最大限活用する
→自動でできるところ、効率的なところ
自分が攻撃者ならどんな情報を盗むか？を考える
→守るべきものを明確に
18