ありがとう。また会おう。

ゆるいかんじで。かたのちからぬいて。やってます。

2017-02-28 第46回 脆弱性診断ええんやで

security-testing.doorkeeper.jp

前回に引き続き参加。
今回はOWASP TOP10の2番目、「認証とセッション管理の不備」

今回は本題よりも余談でちょいちょい出ていた、ほんまかいな!?的なネタが面白かった。
(いや、本題もためになったんですけどね)

その他、以下はセミナー中に取ったメモ。
あまり体系的にまとめてないけど。

~~~~~

検索キーワード
 Let’s know owasp
 工程別活用可能な資料
 OWASPの歩き方

■認証とセッション管理の不備

ASVS要件
https://jpcertcc.github.io/OWASPdocuments/ASVS/OWASPApplicationSecurityVerificationStandard3.0.pdf

無線LANが普及した結果、一般ユーザは無線LAN接続に抵抗なくなった
→キャリアや有名企業になりすましたアクセスポイントをしかけて通信を盗める
→ネットワークの盗聴、セッションIDの奪取はリスクが高まっている
 ※有線LAN前提ではネットワーク盗聴はその敷地内に侵入する必要があるので
  リスクは高くなかった

・セッションの寿命はできるだけ短く。ブラウザ閉じたら終了が望ましい

・オレオレセッションID生成はダメ、絶対。

md5ハッシュは元文字列が辞書由来の単語であれば、Googleなどで検索できてしまう

セキュリティ業界の常識として、暗号化/復号方式は公開されなければいけない
(オレオレ暗号化は遠くない先に破られる)
※狙われなければ破られないけど…

・ログイン成功したらでセッションIDを再生成する
 →攻撃者はログイン前のセッションIDを把握できる(している)ので

■LT
サイバー攻撃の被害にあった場合
・被害が明確なら、拡大防止のためサーバ隔離(クラウドなら停止)
・「情報セキュリティ事故対応ガイドブック」(IPA
・相談可能な組織
 ・ラック(緊急対応サービス「サイバー119」)
 ・三井物産セキュアディレクション
 ・アクティブディフェンス研究所
 ・オレンジセキュアサービス(トラブルレスキュー)

AWS WAFは現時点では正規表現対応してない(id=[0-9A-Za-z]+ とか)