Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティテストでより安心できるリリースにしよう

Avatar for yumechi(Motoki Hirao) yumechi(Motoki Hirao)
March 24, 2023
Technology
600
0

 セキュリティテストでより安心できるリリースにしよう

2023/03/23〜25 開催 PHPerKaigi 2023 Day 1 LT

Avatar for yumechi(Motoki Hirao)

yumechi(Motoki Hirao)

March 24, 2023

More Decks by yumechi(Motoki Hirao)

See All by yumechi(Motoki Hirao)
おれおれサービスをいっぱいつくろう
Avatar for yumechi(Motoki Hirao) yumechi
0
54
ブログ用の記事投稿数 可視化の仕組みを作る
Avatar for yumechi(Motoki Hirao) yumechi
0
51
2026年 エンジニアリング自己学習法
Avatar for yumechi(Motoki Hirao) yumechi
0
180
PyCon mini Shizuoka 2026 ご紹介
Avatar for yumechi(Motoki Hirao) yumechi
0
49
Chart.jsで長い項目を表示するときのハマりどころ
Avatar for yumechi(Motoki Hirao) yumechi
0
210
異夢同船 読んできました!
Avatar for yumechi(Motoki Hirao) yumechi
0
310
地方カンファレンスのスタッフしてて思うこと
Avatar for yumechi(Motoki Hirao) yumechi
0
200
2025年半忘年会ふりかえり
Avatar for yumechi(Motoki Hirao) yumechi
0
70
業務で使える一歩進んだPython使いになるために / To become an advanced user of Python that can be used at work
Avatar for yumechi(Motoki Hirao) yumechi
13
14k

Other Decks in Technology

See All in Technology
The Journey of Box Building
Avatar for Satoshi Tagomori tagomoris
2
140
明日からドヤれる!超マニアックなAWSセキュリティTips10連発 / 10 Ultra-Niche AWS Security Tips
Avatar for Yuji Oshima yuj1osm
0
490
自分のハンドルは自分で握れ! ― 自分のケイパビリティを増やし、メンバーのケイパビリティ獲得を支援する ― / Take the wheel yourself
Avatar for TAKAKING22 takaking22
1
600
DevOpsDays2026 Tokyo Cross-border practices to connect "safety" and "DX" in healthcare
Avatar for Yutaro Sugai hokkai7go
0
160
DIPS2.0データに基づく森林管理における無人航空機の利用状況
Avatar for Forestgeo.info naokimuroki
1
220
みんなの「データ活用」を支えるストレージ担当から持ち込むAWS活用/コミュニティー設計TIPS 10選~「作れる」より、「続けられる」設計へ~
Avatar for Yoshiki Fujiwara yoshiki0705
0
200
DevOpsDays Tokyo 2026 見えない開発現場を、見える投資に変える
Avatar for Norio Oikawa rojoudotcom
3
200
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
78k
インフラを Excel 管理していた組織が 3 ヶ月で IaC 化されるまで
Avatar for ギークプラス ソフトウェア事業部 geekplus_tech
3
190
AIエージェントを構築して感じた、AI時代のCDKとの向き合い方
Avatar for Makky12 smt7174
1
250
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
Avatar for Kenji Saito ks91
PRO
0
240
終盤で崩壊させないAI駆動開発
Avatar for かとじゅん j5ik2o
2
2.1k

Featured

See All Featured
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
440
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.6k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.6k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
720
It's Worth the Effort
Avatar for 3n 3n
188
29k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
270
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
130
Chasing Engaging Ingredients in Design
Avatar for Sebastian Deterding codingconduct
0
170
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.4k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
330

Transcript

  1. https://www.dip-net.co.jp/ Motoki Hirao セキュリティテストでより 安心できるリリースにしよう

  2. https://www.dip-net.co.jp/ 発表者について • 2021年7月に開発者としてディップに ジョイン • スクラムマスターや開発を担当 • ゲームが好き 2

    会社ではこんな アイコンでやってます!

  3. https://www.dip-net.co.jp/ • 2022年4月にアーキテクチャ リプレイスをしました • リプレイスプロジェクトの 一環でセキュリティテスト を実施 今回の発表の背景 https://fortee.jp/phpcon-2022/proposal/ab138440-5240-43be-99ed-3680bad17085

    より

  4. https://www.dip-net.co.jp/ リプレイスプロジェクトの課題 • セキュリティ面での検証はできておらず、攻撃に耐えう るソフトウェアであるかは懸念があった • JavaのコードをPHPに移植した • ふるまいに関しては単体・結合・総合テストで入念に確認済 •

    一方で実際に外部公開した際、攻撃されて問題が起きる可能性 がある 4

  5. https://www.dip-net.co.jp/ 5 そもそもチームに セキュリティに 詳しい人いない…

  6. https://www.dip-net.co.jp/ ツール選定の中で上がったこと • セットアップが容易で、実行に特殊な知識を必要とせず、 実施結果も確認しやすい • 定期的に実行しやすい仕組みが整っていると嬉しい • 定期的に実施して検査し続けて健全な状態を維持したい •

    例えばCIに組み込み可能、定期実行する仕組みがツール自体に 備わっている 6

  7. https://www.dip-net.co.jp/ VAddyを使う 7 引用:https://vaddy.net/ja/

  8. https://www.dip-net.co.jp/ VAddy主な機能 • クロール(シナリオ)の記録、脆弱性検査実施 • 検査結果のレポート • メンバー・権限管理 8

  9. https://www.dip-net.co.jp/ • ブラウザでクロールを記録 して、「スキャン実行」を クリックするだけ

  10. https://www.dip-net.co.jp/ • SQLインジェクション • クロスサイトスクリプティング(XSS) • リモートファイルインクルード(RFI) • コマンドインジェクション •

    ディレクトリトラバーサル • ブラインドSQLインジェクション • 安全でないデシリアライゼーション • XML外部実体攻撃(XXE) • HTTPヘッダインジェクション • SSRF脆弱性 • 非公開ファイル検査 VAddy主な検査対象 10 ※プランによって異なります 引用:https://vaddy.net/ja/plan.html

  11. https://www.dip-net.co.jp/ CLI・APIからの実行も可能 • go-vaddy: VAddy API Command-Line Tool • https://github.com/vaddy/go-vaddy/blob/master/README_ja.md

    • VAddy Web API Scan Document • https://github.com/vaddy/WebAPI-document/blob/master/VAddy- WebApi-ja.md • 外部から操作しやすいので、CIへの組み込みや定期実行がし やすい 11

  12. https://www.dip-net.co.jp/ 12 VAddyなら なんとかできる かも…

  13. https://www.dip-net.co.jp/ 実際にセキュリティテストやっていく • 調査含めて2ヶ月くらいかけました(2021/11〜2021/12) • クロールはPC版とスマートフォン版を分けて記録 • PC版とスマートフォン版で内部ロジックが異なるため • VAddyではヘッダー情報が記録されていた

    • クロール数は50以下くらいで、手作業で収集 13

  14. https://www.dip-net.co.jp/ 実行の高速化 • サービスのフォーム入力項目やvalue値が多すぎるためか、タイ ムアウトが頻発しテストが終わらない問題発生 • 基本情報、職務経歴、トラッキングパラメータなどで数百項目以上 • 対策として次の2つを実施 •

    アセットデータへのリクエストをPacファイルを用いてフィルタ • それでも厳しい部分については検査項目をいくつかのグループに分け て実施し、実施時間を調整 14

  15. https://www.dip-net.co.jp/ 実施した結果… 15 • 数ケースだが問題発見 • 元々のコードにも残っている 不具合だった • リリース前に修正

  16. https://www.dip-net.co.jp/ \ 🎉無事リリース🎉 /

  17. https://www.dip-net.co.jp/ 今後に向けて • 継続的に実施する計画・運用を考える • 機能が追加される=セキュリティリスクが増える • 常に検査し続けてこそ意味がある • スケジュール実行したい

    • 我々のフォームのつくり上、CIに組み込めない • ジョブ管理ツールとCLIやAPIを組み合わせて定期実行を実現したい 17

  18. https://www.dip-net.co.jp/ まとめ • セキュリティテストを実行する際、Webサービスを使う手も ある • 選定基準に照らし、私たちはVAddyを選択した • セキュリティテストを実行し、若干数の問題を発見できた •

    継続的に実施する計画や運用はこれから検討する 18

  19. https://www.dip-net.co.jp/ • 大きなプロダクトに挑戦し て見たい方は是非一度カジ ュアル面談でお話しさせて ください! • 3/25にはブースもあります ので、お話ししましょう! 積極採用やってます!

  20. https://www.dip-net.co.jp/ Appendix • 商用可・フリーイラスト素材|ソコスト https://soco- st.com/ 20