継続的Webセキュリティテスト PHPカンファレンス関西2015 LT

Copyright  (c)    Bitforest  Co.,  Ltd.

継続的Webセキュリティテスト

2015/2/19 VAddy Meetup1

株式会社ビットフォレスト  市川

Copyright  (c)    Bitforest  Co.,  Ltd.

自己紹介

2

• IPA好き 市川

• @cakephper / @ichikaway

• 福岡在住(PHPカンファレンス福岡)

Copyright  (c)    Bitforest  Co.,  Ltd.

3

Webエンジニアは  

セキュリティを意識した  開発をすべき！

Copyright  (c)    Bitforest  Co.,  Ltd.

4

本音  セキュリティのこと考えたくない！

Copyright  (c)    Bitforest  Co.,  Ltd.

5

本音2  

ライブラリ、  フレームワークで  なんとかして！

Copyright  (c)    Bitforest  Co.,  Ltd.

6

現実  やられたニュースをよく聞く  自分は大丈夫だろうか？

Copyright  (c)    Bitforest  Co.,  Ltd.

7

現実  広範囲のスキャンが来て  凡ミスがあると・・・

Copyright  (c)    Bitforest  Co.,  Ltd.

8

脆弱性もバグ  だからテストしよう！

Copyright  (c)    Bitforest  Co.,  Ltd.

セキュリティテスト

• 脆弱性診断サービス  

• セキュリティテストツール  

• App  Scan  • OWASP  ZAP  • VAddy

9

Copyright  (c)    Bitforest  Co.,  Ltd.

OWASP ZAP

10

Copyright  (c)    Bitforest  Co.,  Ltd.

11

ユニットテストと同じく  開発初期から  リリース後まで

Copyright  (c)    Bitforest  Co.,  Ltd.

12

継続的な  セキュリティテスト  

が必要

Copyright  (c)    Bitforest  Co.,  Ltd.

世界の流れ

• Google  • GTAC  2013:  Finding  XSS  at  Google  Scale  • 社内で独自ツールを使ってチャレンジ中  

• https://www.youtube.com/watch?v=rd5TZKRg-­‐lc

13

Copyright  (c)    Bitforest  Co.,  Ltd.

世界の流れ• カーネギーメロン大学ソフトウェア工学部  

• http://blog.sei.cmu.edu/post.cfm/security-­‐continuous-­‐integration-­‐338

14

Copyright  (c)    Bitforest  Co.,  Ltd.

継続的Webセキュリティテストの課題

• 既存のツールを使う場合  

• CIのフローに乗せるのが大変  

• 設定項目が多くノウハウを貯める必要

15

Copyright  (c)    Bitforest  Co.,  Ltd.

重要ポイント

16

Webアプリケーションの動作を  

検査ツールが把握して  

検査できなければ  

まったく意味がない

Copyright  (c)    Bitforest  Co.,  Ltd.

17

なんか・・面倒そう

本音

Copyright  (c)    Bitforest  Co.,  Ltd.

本音

18

ビジネスに関わる開発に  

注力したいのに・・

Copyright  (c)    Bitforest  Co.,  Ltd.

19

簡単に導入  運用が不要効果的な検査

CIサイクルに組込み

Copyright  (c)    Bitforest  Co.,  Ltd.

20

継続的Webセキュリティテストサービス

Vulnerability  Assessment  is  your  Buddy  （脆弱性診断はあなたの相棒）

Copyright  (c)    Bitforest  Co.,  Ltd.

21

継続的Webセキュリティテストサービス

http://vaddy.net

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddyの特徴

• インストール不要(SaaS)  

• 無料  

• CI連携可能  

• WebAPI提供  

• Jenkinsプラグイン  

• Travis,  CircleCI,  etc  連携可能

22

Copyright  (c)    Bitforest  Co.,  Ltd.

よくある構成

23

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddyの特徴

24

特別な設定なしでVAddyがアプリケーションの動作を理解して  

正確に検査できるように

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddyのポリシー

25

開発者が  

開発に注力できるように！

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddyの特徴

26

機械学習を使った  

セキュリティ検査の  

エンジンを独自開発

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddy DEMO

27

Copyright  (c)    Bitforest  Co.,  Ltd.

脆弱性の種類、問題のパラメータ名

28

Copyright  (c)    Bitforest  Co.,  Ltd.

再現用の攻撃リクエスト

29

Copyright  (c)    Bitforest  Co.,  Ltd.

30

まずは  VAddyやOWASP  ZAP  

を使って評価  小さく初めてみる

Copyright  (c)    Bitforest  Co.,  Ltd.

31

継続的な  セキュリティテストが  今後のトレンドになる

Copyright  (c)    Bitforest  Co.,  Ltd.

VAddyの現状(2015/5 現在)

• 無料プランのみ提供中  

• 何度でもスキャン実行可能  

• SQLインジェクション、XSS  

• Jenkinsプラグイン提供中  

• Rubyクライアント提供中  

• CircleCI,  TravisCI,  Codeshipなどに対応

32

Copyright  (c)    Bitforest  Co.,  Ltd.

現状、可能な検査(SQLi, XSS)• GET/POST/PUT/DELETEのパラメータの検査  

• RestAPI対応、パラメータがJSON対応  

• URLパスのパラメータ検査  

• www.example.com/item/view/1  • フォーム認証（ログイン画面）  

• CSRF対策トークン(Angular.jsも含め)  

• SSL上のアプリケーション33

Copyright  (c)    Bitforest  Co.,  Ltd.

34

http://vaddy.net

ご清聴ありがとう  ございました