ウェブアプリケーション開発者向けセキュリティ実装講座
行ってきましたよ、と。参加者の中に知ってる顔が約1割って・・・多いんだろうか。
資料は後日IPAサイトで公開されるそうです。実際のプレゼン資料は、手元の配付資料よりも更新されていたので、参加者も公開待ちだったりします。
プレゼン以外の自分用メモ(主に質疑応答)。
最近の脆弱性関連情報の届出事例とその対策方法
(IPA セキュリティセンター 田原 美緒 氏)
不受理扱い、取扱終了案件について。
主な受理事例紹介・・・XSS、SQL Injection、DNS設定情報の不備など。
- 脆弱性の発見についてはフォーマットがあるが、できるだけ詳しく書いて欲しい(特に再現環境など)。現在IPAで補足コメントなどを入れて連絡しているが、できればIPAはCopy&Pasteするだけで、相手方に連絡が取れると嬉しい。
- (脆弱性が)自分にあてはまるかどうかわかりにくいので、失敗例のような事例紹介が欲しい。照合できれば身近になるのでは?
- 冊子作成予定。
- 海外のサービスで日本人がよく利用するようなもので脆弱性が発見された場合、不受理?
- 不受理としたと思う。(3〜4件ぐらい)今後は検討が必要かもしれない。
- 受理、不受理を判断する際、IPAでも検証していると思うが、人的リソース、物理的リソースは十分なのか?
- 営業機密なので・・・。パッケージなどは手に入る範囲は検証している。ベンダは協力してくれると嬉しい。(製品提供協力)
- 脆弱性を通知後、「修正した」と連絡がくるが、届出された情報のみ修正して、片手落ちなケースがある。運営者は「これでOK」と断言して、「以後の連絡は不要」と言ってくるケースもある。
「CSRF」 と 「Session Fixation」 の諸問題について
(独立行政法人 産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 氏)
CSRF、Session Fixation、Cookie Monster bug(=Cross Site Cooking)など。
セッション管理が重要。
Mozillaでは、修正予定のない不具合(直したい人は直せ)もあるので要注意。(Bugzilla Bug 252342)
安全なウェブアプリケーション構築のための開発環境
(IPA セキュリティセンター 園田 道夫 氏)
オープンソース関連では、フレームワーク、ライブラリ、ドキュメントもあまりないらしい。ご存じのものがあれば教えて欲しい。
市販書籍にあるサンプルプログラムや付録に収録されているものには、脆弱性のないものは少ない。直す方法を確立できると幸せになれるかも。
この辺を見ると幸せになれるかも?
- eVuln.com - Web Application Penetration Test Services
http://evuln.com/
Public Vulns ListとかBugtraq Archiveとか。 - Web Application Security Consortium White Papers
http://www.webappsec.org/whitepapers.shtml- Stopping Automated Attack Tools
http://www.ngssoftware.com/papers/StoppingAutomatedAttackTools.pdf - SQL Injection
http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
- Stopping Automated Attack Tools
- Microsoft Anti-Cross Site Scripting Library V1.0
http://www.microsoft.com/downloads/details.aspx?FamilyID=9a2b9c92-7ad9-496c-9a89-af08de2e5982&DisplayLang=en
など。
おみやげ
- 「マナベにまなべ」ポスター(http://www.checkpc.jp/の)
- 安全なWebサイトの作り方(冊子)
- IPA事業概要
- ウイルス対策系パンフレット&CD-ROM
- 脆弱性対策系パンフレット