際際滷

際際滷Share a Scribd company logo

OWASP Cheatsheetを歌深にやられアプリ恬ってみた

?Download as PPTX, PDF?
?
M
mkoda

OWASP Connect in Tokyo #2 で旋喘したY創です。

1 of 22
Download to read offline
OWASP Cheatsheet を歌深にやられアプリ 恬ってみた @halkichisec OWASP Connect in Tokyo#2 2019.01.25
OWASP Connect in Tokyo #2 2019.01.25 Who am I? >侑弥繍望 セキュリティエンジニア: - 巌樋來\僅を麼なI佞砲靴討い泙后 - たまにセキュリティ檀試咾箸も。 Us: - I順秘ってからからずっとセキュリティ何T - F壓はフリ`ランスとして試嗽弌 twitter: - @halkichisec
OWASP Connect in Tokyo #2 2019.01.25 書指おする坪否 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 書指つくったh廠
OWASP Connect in Tokyo #2 2019.01.25 念指のOWASP ConnectY創より https://owaspprteam.connpass.com/event/99292/ 世箸△誑\僅TさんのY創
OWASP Connect in Tokyo #2 2019.01.25 やられアプリとは
OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 吭躓弔亡猗來を恬りzんであるアプリケ`ションのこと ? XSS ? CSRF ? SQLインジェクション ? OSコマンドインジェクション...etc そんなもの採に聞うの?
OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 旋喘するメリット ? 巌樋來の僥に (兆念は岑っているけど...どういう巌樋來か岑らないやつとか) ? スキャンツ`ルをせる (OWASP ZAPとかぶんまわせる) ? 好弔靴討眦られない!
OWASP Connect in Tokyo #2 2019.01.25 OWASP で巷_されているアプリ OWASP BWA (The Broken Web Applications) 弼?な巌樋來を腹りzんだ アプリ蛤 VMイメ`ジ/ISOで塘下 おすすめはbWAPP
OWASP Connect in Tokyo #2 2019.01.25 OWASP で巷_されているアプリ鹿 ? OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ?PHP, Java楕が互め
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや ? セキュリティにおけるチ`トシ`ト。 ? g廾の廣吭泣、スタンダ`ドをW_している。 ? 巌樋なコ`ドのパタ`ンや好弔領鍔崛个覆匹癲 ? セキュリティにd龍があるエンジニアさんなら、編^の猟忖双をまず は徭蛍のアプリケ`ションに頭っ極からしてみるのも措いかも。
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetがフォロ`している朕
OWASP Connect in Tokyo #2 2019.01.25 ? Authentication J^についてのスタンダ`ド。 パスワ`ドLは? メ`ルアドレスの要輝來チェックは? ? Input Validation 秘薦、呂い張船Д奪する?どこまでる? ? Output Encoding 竃薦rのサニタイズとかとか...麼にXSS。 ? Cross Domain 翌何ドメインからのリソ`ス函誼にvする廣吭並。 ? Logging ログに竃薦するべき麗は採か。 ? Uploads ファイルアップロ`ドの廣吭並。 OWASP CheatSheetがフォロ`している朕 (C嬬ピックアップ)
OWASP Connect in Tokyo #2 2019.01.25 ? もちろん巌樋來ベ`スでもY創が喘吭されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど ? 冱Zベ`スもある(PHP, Java, Rubyなど) コ`ド箭がdっているのでより醤悶議!
OWASP Connect in Tokyo #2 2019.01.25 書指つくったやられアプリで歌深にしたもの ? Ruby on Rails Cheatsheet RailsのGood/Badパタ`ンのまとめ。 サンプルコ`ドが謹いのでWのようなコピペプログラマも芦伉。
OWASP Connect in Tokyo #2 2019.01.25 書指つくったやられアプリ ? Rails_Broken_App (Ruby on Rails)
OWASP Connect in Tokyo #2 2019.01.25 ? Rails_Broken_App https://github.com/halkichi0308/rails_broken_app ? コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 ? フォロ`した巌樋來 ? XSS ? SQL injection ? Open Redirect ? CSRF ? セットアップ 3つコマンド澣くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 吭_k嶄
OWASP Connect in Tokyo #2 2019.01.25 B初したいところ ? Dockerを聞っているので軟咾壼い。(2指朕參週) ? ソ`スコ`ドから巌樋來のあるw侭がえる。 ? 巌樋來を俐屎してすぐに_Jできる! 巌樋來のあるコ`ドと 貨されたコ`ドをd
OWASP Connect in Tokyo #2 2019.01.25 デモ
OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetを聞うメリット ? セキュリティ貨の峺砲砲覆! まず採をすれば措い?どこまで貨すれば措い? ? ユ`ザへのh苧に旋喘できる! この巌樋來ならこのY創を歌孚して?のに ? やられサイト恬るrのアイデアがGETできる!
OWASP Connect in Tokyo #2 2019.01.25 なんかyしそう...。でも寄嬋健。 晩云Zに鍬UされているY創もありまぁす ? OWASP CheatSheetSeries晩云Z井 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition ? Ruby on Rails にvするチ`トシ`ト(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
OWASP Connect in Tokyo #2 2019.01.25 峻さんもやられアプリ薬蕕靴討澆討呂いがでしょうか?

More Related Content

OWASP Cheatsheetを歌深にやられアプリ恬ってみた

  • 2. OWASP Connect in Tokyo #2 2019.01.25 Who am I? >侑弥繍望 セキュリティエンジニア: - 巌樋來\僅を麼なI佞砲靴討い泙后 - たまにセキュリティ檀試咾箸も。 Us: - I順秘ってからからずっとセキュリティ何T - F壓はフリ`ランスとして試嗽弌 twitter: - @halkichisec
  • 3. OWASP Connect in Tokyo #2 2019.01.25 書指おする坪否 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 書指つくったh廠
  • 4. OWASP Connect in Tokyo #2 2019.01.25 念指のOWASP ConnectY創より https://owaspprteam.connpass.com/event/99292/ 世箸△誑\僅TさんのY創
  • 5. OWASP Connect in Tokyo #2 2019.01.25 やられアプリとは
  • 6. OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 吭躓弔亡猗來を恬りzんであるアプリケ`ションのこと ? XSS ? CSRF ? SQLインジェクション ? OSコマンドインジェクション...etc そんなもの採に聞うの?
  • 7. OWASP Connect in Tokyo #2 2019.01.25 やられアプリ(サイト)とは 旋喘するメリット ? 巌樋來の僥に (兆念は岑っているけど...どういう巌樋來か岑らないやつとか) ? スキャンツ`ルをせる (OWASP ZAPとかぶんまわせる) ? 好弔靴討眦られない!
  • 8. OWASP Connect in Tokyo #2 2019.01.25 OWASP で巷_されているアプリ OWASP BWA (The Broken Web Applications) 弼?な巌樋來を腹りzんだ アプリ蛤 VMイメ`ジ/ISOで塘下 おすすめはbWAPP
  • 9. OWASP Connect in Tokyo #2 2019.01.25 OWASP で巷_されているアプリ鹿 ? OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ?PHP, Java楕が互め
  • 10. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは
  • 11. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや ? セキュリティにおけるチ`トシ`ト。 ? g廾の廣吭泣、スタンダ`ドをW_している。 ? 巌樋なコ`ドのパタ`ンや好弔領鍔崛个覆匹癲 ? セキュリティにd龍があるエンジニアさんなら、編^の猟忖双をまず は徭蛍のアプリケ`ションに頭っ極からしてみるのも措いかも。
  • 12. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetがフォロ`している朕
  • 13. OWASP Connect in Tokyo #2 2019.01.25 ? Authentication J^についてのスタンダ`ド。 パスワ`ドLは? メ`ルアドレスの要輝來チェックは? ? Input Validation 秘薦、呂い張船Д奪する?どこまでる? ? Output Encoding 竃薦rのサニタイズとかとか...麼にXSS。 ? Cross Domain 翌何ドメインからのリソ`ス函誼にvする廣吭並。 ? Logging ログに竃薦するべき麗は採か。 ? Uploads ファイルアップロ`ドの廣吭並。 OWASP CheatSheetがフォロ`している朕 (C嬬ピックアップ)
  • 14. OWASP Connect in Tokyo #2 2019.01.25 ? もちろん巌樋來ベ`スでもY創が喘吭されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど ? 冱Zベ`スもある(PHP, Java, Rubyなど) コ`ド箭がdっているのでより醤悶議!
  • 15. OWASP Connect in Tokyo #2 2019.01.25 書指つくったやられアプリで歌深にしたもの ? Ruby on Rails Cheatsheet RailsのGood/Badパタ`ンのまとめ。 サンプルコ`ドが謹いのでWのようなコピペプログラマも芦伉。
  • 16. OWASP Connect in Tokyo #2 2019.01.25 書指つくったやられアプリ ? Rails_Broken_App (Ruby on Rails)
  • 17. OWASP Connect in Tokyo #2 2019.01.25 ? Rails_Broken_App https://github.com/halkichi0308/rails_broken_app ? コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 ? フォロ`した巌樋來 ? XSS ? SQL injection ? Open Redirect ? CSRF ? セットアップ 3つコマンド澣くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 吭_k嶄
  • 18. OWASP Connect in Tokyo #2 2019.01.25 B初したいところ ? Dockerを聞っているので軟咾壼い。(2指朕參週) ? ソ`スコ`ドから巌樋來のあるw侭がえる。 ? 巌樋來を俐屎してすぐに_Jできる! 巌樋來のあるコ`ドと 貨されたコ`ドをd
  • 19. OWASP Connect in Tokyo #2 2019.01.25 デモ
  • 20. OWASP Connect in Tokyo #2 2019.01.25 OWASP CheatSheetを聞うメリット ? セキュリティ貨の峺砲砲覆! まず採をすれば措い?どこまで貨すれば措い? ? ユ`ザへのh苧に旋喘できる! この巌樋來ならこのY創を歌孚して?のに ? やられサイト恬るrのアイデアがGETできる!
  • 21. OWASP Connect in Tokyo #2 2019.01.25 なんかyしそう...。でも寄嬋健。 晩云Zに鍬UされているY創もありまぁす ? OWASP CheatSheetSeries晩云Z井 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition ? Ruby on Rails にvするチ`トシ`ト(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
  • 22. OWASP Connect in Tokyo #2 2019.01.25 峻さんもやられアプリ薬蕕靴討澆討呂いがでしょうか?