Webハッキングライブセミナー
全体的には「Webアプリケーションに対する攻撃はこういうものがあり、このようなことが起きます。対応するためには、Webアプリケーションをセキュアなものにするというのが根本的な解決策ですが、コストがかかります。なので、NetContinuum社の製品を導入することで対応しましょう」という主旨です。
◆挨拶
◆Webハッキングライブ 「敵を知る」
- Webアプリケーションのセキュリティの概要
- Webアプリを狙う代表的な攻撃とは
- デモサイトを使ったハッキングデモンストレーション
- 攻撃の手順
- サイトの予備調査
- 侵入を試みる
- データの盗難、改ざん
- バックドアの設置
- ログの改ざん
- Webサーバ/アプリケーションの調査
- デモ
- 攻撃の手順
◆Webアプリケーションの脆弱性を見つけるには 「己を知る」
- Webアプリケーションの脆弱性のサマリ
- Webアプリケーションの脆弱性の種類
- SQL Injection
- セッションハイジャック
- 強制Browsing
- XSS
- 何が問題?
- 一番の問題は、コードを書く人がセキュリティに関する知識が少ない
- Webアプリケーションの脆弱性を発見する
- 脆弱性発見の第一歩
- 調査対象のWebサイトを理解する
- 脆弱性がありそうな箇所を推測
- wget -m
- JavaScript、Flash、動的コンテンツが問題になることが多い
- 認証、アクセス制御
- 認証を突破することを考える
- Basic認証、NTLM認証
- 一番多いのはCookie、規則性
- 規則性があれば、ユーザのセッションはハイジャックできる
- 管理用のもの
- SQL Injectionによる認証の突破
- JavaScriptをクライアントサイドで行なわれているケースもある→クライアント側ではずせる
- Webアプリケーションの脆弱性の種類
◆Webアプリケーションの防御 「敵を知り己を知れば百戦危うからず」
- Webアプリケーションのセキュリティの確保
- セキュアコーディング→Best!
- セキュアコーディングをマスターしたプログラマが少ない
- 非常に時間がかかる
- コストがかかる
- アプライアス製品(NetContinuum)を使用する
- Webサーバの前におき、簡単な設定でWebアプリケーションを保護
- Webアプリケーションを改変する必要がないため、時間がかからない
- 時間がかからないため、コストもかからない
- セキュアコーディング→Best!
- Webアプリケーションファイアウォールで守る(NetContinuum(FANが12個))
- 機能
- Web Cloaking
- Webサーバ/アプリケーションの情報を外部に対して隠匿
- Web ACL(ブロックすると、エラー画面(404)を表示する)
- Cookie Security
- Cookieを暗号化してBrowserに渡す
- Dynamic Application Profiling(DAP)
- Hiddenパラメータを学習する
- Data Theft Protection
- もし、SQL Injectionが成功してもテーブルのフィールドを隠す
- Application Vulnerability Description Language(AVDL)
- Web Inspect(アプリケーションの脆弱性をスキャンする)との連携
- ASIC搭載(48個のプロセッサを搭載)
- 10000HTTPリクセスト/秒(メーカー公称値)
- 最大4000SSLセッション
- ロードバランシング機能
- Web Cloaking
- 価格
- 1台465万円(定価)
- ライセンス製品ではない。
- 保守
- 時差を利用して24時間サポート対応(インドにもラボがある)
- 機能