セキュリティ・キャンプ 2015 全国大会 チュータープレゼン #seccamp
-
Upload
yutaka-watanabe -
Category
Technology
-
view
759 -
download
2
Transcript of セキュリティ・キャンプ 2015 全国大会 チュータープレゼン #seccamp
% whoami
渡部裕 (わたなべ ゆたか)◦ ゆったん
◦ Twitter : @ytn86
筑波大学情報科学類2年◦ いわゆるAC入試で入学
セキュリティ・キャンプ 2013 ソフトウェアセキュリティクラス
セキュリティ・キャンプ 2015 チューター
% whoami
~高校◦ ソフトウェアセキュリティ中心
◦ バイナリよんだり, 目grepしたり
大学入学後◦ Webセキュリティ中心に幅広く
◦ Pwnしたり, XSSしたり
◦ セキュリティだけじゃなくて開発とかも
脆弱性をみつけること
CTF ◦ 攻撃する(フラグを得る, 攻防戦なら他のチームの妨害をする, など)ため
現実◦ 世の中をよりセキュアにするため
◦ 報奨金を得るため
◦ For bad purpose
◦ 「俺すげーだろ」って見せびらかすため(Webサイトの改竄とか)等
◦ Etc…
私にとって「脆弱性を見つけること」とは
綺麗事かもしれないけど、「世の中を安全にする」ため◦ 「一般ユーザがより安全にサービスを使える世界にしたい」という昔からの夢
◦ 「脆弱性をなくす」ことにも繋がっている
世の中における「自分の存在価値」を見つけるため◦ 詳細は割愛
どこで脆弱性を見つけるのか
主に「Bug Bounty制度」を持つサービス◦ ルール従えば, 訴えられるようなことはない
◦ うまくいけばついでに報奨金ももらえる
◦ 制度を持たないサービスだと, 訴えられそうでこわい
◦ それでも見つけてしまったら報告する
それっぽい挙動を見つけたサービス◦ あまり深入りはしない
<CENSORED>
どこで脆弱性を見つけるのか
脆弱性診断(仕事)◦ やっぱり仕事でやっている時間が一番多い
◦ もちろん責任は大きい
◦ その分モチベーションも上がるんだよね
◦ 好きなことをやって, 行きていける
◦ やっぱりこれが大きいし, 良い
「脆弱性をなくすこと」とは
「世の中を安全にする」こと◦ ミッション
「みんながより安全にサービスを使える」ようにすること◦ 「悪意のある第三者による被害の可能性」を減らす
私自身が目標としていること◦ セキュリティに興味を持ち、キャンプに参加した理由
脆弱性をなくす
すべての脆弱性をなくすことはできるとは思っていない◦ 正直な話
脆弱性を見つけられる前に自分で見つける◦ そして修正することで脆弱性をなくす
企業は診断を受ける事が多いけれど, 個人だと難しい◦ なら個人ユーザ向けにつくっちゃおう
脆弱性をなくすために
対象とする脆弱性◦ XSS (Reflected, Stored)
◦ SQL Injection
↑優先事項
↓余裕があれば
◦ DOM Based XSS
◦ Cookieまわり
◦ ディレクトリトラバーサル
◦ XSSI
◦ Etc…
おわりに
Webセキュリティは奥が深い◦ プロたちに消されそう… ▂▅▇█▓▒░('ω')░▒▓█▇▅▂
◦ プロに消されないプロを目指して
(自明)セキュリティといっても, 幅はとても広い◦ 一つの分野だけじゃなくて, 2つ, 3つ…と手を出してほしい
◦ 視野を狭くすることは, 成長を妨げる事にもなる