Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1
900
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
930
ガンダム × ネーミング
deka_morita
0
670
クレジットカードを不正利用された話
deka_morita
0
1.4k
ガンダム勉強会@関西アンケート集計
deka_morita
0
770
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
650
物理なポチポチ操作自動化
deka_morita
1
260
Other Decks in Technology
See All in Technology
Would you THINK such a demonstration interesting ?
shumpei3
1
230
Spring Bootで実装とインフラをこれでもかと分離するための試み
shintanimoto
7
860
OpenLane-V2ベンチマークと代表的な手法
kzykmyzw
0
110
ブラウザのレガシー・独自機能を愛でる-Firefoxの脆弱性4選- / Browser Crash Club #1
masatokinugawa
1
490
Linuxのパッケージ管理とアップデート基礎知識
go_nishimoto
0
390
読んで学ぶ Amplify Gen2 / Amplify と CDK の関係を紐解く #jawsug_tokyo
tacck
PRO
1
200
4/16/25 - SFJug - Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
2
120
AWSの新機能検証をやる時こそ、Amazon Qでプロンプトエンジニアリングを駆使しよう
duelist2020jp
1
260
Classmethod AI Talks(CATs) #21 司会進行スライド(2025.04.17) / classmethod-ai-talks-aka-cats_moderator-slides_vol21_2025-04-17
shinyaa31
0
600
AWS全冠芸人が見た世界 ~資格取得より大切なこと~
masakiokuda
5
6.3k
クラウド開発環境Cloud Workstationsの紹介
yunosukey
0
180
LangfuseでAIエージェントの 可観測性を高めよう!/Enhancing AI Agent Observability with Langfuse!
jnymyk
1
240
Featured
See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Git: the NoSQL Database
bkeepers
PRO
430
65k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
13
1.4k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Scaling GitHub
holman
459
140k
Making the Leap to Tech Lead
cromwellryan
133
9.2k
StorybookのUI Testing Handbookを読んだ
zakiyama
29
5.6k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
What's in a price? How to price your products and services
michaelherold
245
12k
Testing 201, or: Great Expectations
jmmastey
42
7.5k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.8k
How to train your dragon (web standard)
notwaldorf
90
6k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/