2017-02-28 第46回 脆弱性診断ええんやで
security-testing.doorkeeper.jp
前回に引き続き参加。
今回はOWASP TOP10の2番目、「認証とセッション管理の不備」
今回は本題よりも余談でちょいちょい出ていた、ほんまかいな!?的なネタが面白かった。
(いや、本題もためになったんですけどね)
プリペアードステートメントのPREPAREに外部由来の変数まるっと渡して(当然インジェクションできる)それで「プリペアードステートメント使ってるから安全」なんて言い張る輩なんているのか…根本的にエンジニアに向いてないよな、その人…
— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日
Cookieの有効期限20年!?
— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日
eval() に外部由来変数そのまま渡すとか、狂気の沙汰すぎる…
— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日
今日の脆弱性の勉強会、本題よりアンチパターン集のほうが趣がありすぎる…
— 林 正紀 (のりぃ) (@m_norii) 2017年2月28日
その他、以下はセミナー中に取ったメモ。
あまり体系的にまとめてないけど。
~~~~~
検索キーワード
Let’s know owasp
工程別活用可能な資料
OWASPの歩き方
■認証とセッション管理の不備
ASVS要件
https://jpcertcc.github.io/OWASPdocuments/ASVS/OWASPApplicationSecurityVerificationStandard3.0.pdf
無線LANが普及した結果、一般ユーザは無線LAN接続に抵抗なくなった
→キャリアや有名企業になりすましたアクセスポイントをしかけて通信を盗める
→ネットワークの盗聴、セッションIDの奪取はリスクが高まっている
※有線LAN前提ではネットワーク盗聴はその敷地内に侵入する必要があるので
リスクは高くなかった
・セッションの寿命はできるだけ短く。ブラウザ閉じたら終了が望ましい
・オレオレセッションID生成はダメ、絶対。
md5ハッシュは元文字列が辞書由来の単語であれば、Googleなどで検索できてしまう
セキュリティ業界の常識として、暗号化/復号方式は公開されなければいけない
(オレオレ暗号化は遠くない先に破られる)
※狙われなければ破られないけど…
・ログイン成功したらでセッションIDを再生成する
→攻撃者はログイン前のセッションIDを把握できる(している)ので
■LT
サイバー攻撃の被害にあった場合
・被害が明確なら、拡大防止のためサーバ隔離(クラウドなら停止)
・「情報セキュリティ事故対応ガイドブック」(IPA)
・相談可能な組織
・ラック(緊急対応サービス「サイバー119」)
・三井物産セキュアディレクション
・アクティブディフェンス研究所
・オレンジセキュアサービス(トラブルレスキュー)