やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

オワスプナイトカンサイ 2021.11 ~少し早めの忘年会~

表記イベントに参加してみました。
https://owasp-kansai.doorkeeper.jp/events/129014
(おうちだけど)帰ってからレポるまでがイベントなので、ざっくりですが、まとめてみます。

(1)CODE BLUE裏話
Withコロナ時代のオンオフハイブリッド開催に伴う裏話。

  • CODE BLUEはセールスピッチ禁止で、物好きがしゃべるイベント。このため毎回が「奇跡」
  • コロナ禍が変えたこと
    • オンラインイベントはこれまでのイベントノウハウや勘所が通じず、放送業に近い(映像では沈黙は事故になる)
    • 活動諦めたコミュニティも多数
      →海外系はぼちぼちオフラインイベント始まるかも(国際系除く)
  • よくありそうな質問
    コロナ禍でのイベント開催に置いて聞かれそうなことを10個出して、それへの回答と背景を説明。セキュリティに限らず、どこのイベントでも課題は一緒ですね・・・
  • 国内の出来事と対比して、BLUE INC.周りの出来事を時系列で紹介
    • コロナ禍でCFP自体減ってる(BLACK HATも)
    • 感染症専門医を交えることができた
  • これからのこと
    • 勇気というより覚悟(リスクを十分に把握してそれを回収できるか)
    • すべてはつながっている


(2)OWASP ASVSを使って認証のセキュリティチェックをしてみよう

  • 認証のセキュリティチェックと聞くと漠然とした難しそうな雰囲気
    →今回は脆弱性診断の中でも「仕様がセキュリティ上あるべき姿になっているか」が対象。
  • 認証の仕様に求められるセキュリティ要件
    パスワード、パスワードリカバリ、多要素認証、秘密の質問など、考慮すべきことが多くある
    →ASVS(OWASP Application Security Verification Standard ja)
    →本日時点では4.0.3が最新の翻訳版
    →セキュアなアプリケーションの定義、ビルド、テスト、懸賞に使用できるアプリケーションセキュリティ要件またはテストのリスト。項目:V2が認証に相当。
  • OWASP Webアプリセキュリティ要件定義書との棲み分け
    • ASVS:OWASP
      →技術者寄り
    • 要件定義書:ISOG-Jが推進しているプロジェクト
      →発注者のチェックリスト

(3)CMSでの「XSS to RCE」を触ってみた

  • 本件のきっかけ
    Hardening対策をしている中で「Webアプリの管理画面にCMSが多いのかな?」と考えた。
    EC-CUBEでの脆弱性を掘り下げてみたところ、「XSSからWebShellの配置」ってどういうことだろうと思い、CMSでの「XSS to RCE(Remote Code Execution)」つまり、XSSとRCEを使ってWebシェルを置く方法に行きついた。
  • WebShell
    • ブラウザを介してWebサーバ上での任意のコマンドを実行できるようにしたバックドア
    • CMSはテンプレート上でPHPそのものを書ける。つまり、Webシェルも書ける。
    • 攻撃者視点
      どうやって悪意のあるコンテンツを置くか?(権限のあるセッションを使ってHTTPリクエスト送信ができるか?)


(4)もう見ましたか?OWASP Top 10 2021

  • OWASP Top 10 2021のコンセプト
    • トップ10は主に意識向上を目的とした文書、出発点に過ぎない
    • 関西名物で例えるならどろソース
      →「たこやき」は重要アイテム