Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
zash_shibainu
January 10, 2019
270
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
January 10, 2019
More Decks by zash_shibainu
See All by zash_shibainu
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
0
77
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
110
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
440
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
540
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
250
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
600
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
980
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
160
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
150
Featured
See All Featured
Leo the Paperboy
mayatellez
7
1.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Test your architecture with Archunit
thirion
1
2.3k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
201
75k
How to Ace a Technical Interview
jacobian
281
24k
What does AI have to do with Human Rights?
axbom
PRO
1
2.2k
Designing for Performance
lara
611
70k
Design in an AI World
tapps
1
240
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.8k
Building a A Zero-Code AI SEO Workflow
portentint
PRO
0
600
A Tale of Four Properties
chriscoyier
163
24k
Transcript
None
0:自己紹介 1:今日の目的 2:Snakes&Ladders説明 3:Let's Play(Beer Bash!!) 4:まとめ eLV セキュリティシリーズ#2
本資料は基本的に公開します! ガリガリメモらなくておk!! マークのあるページは別です! 写真、SNS投稿などもNG!! 酒は飲んでも飲まれるな( ゚Д゚)y─┛~~ 私の勉強会はアルコールおkです! eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2 名前(ハンドル) 柴雑種(@zash_shibainu) 名前(本名) 柴田 諭史 仕事(現在) フリーランス・エンジニア -
インフラ - セキュリティ 職歴 2003~2006:プログラマ(デスマ多し…) 2006~2017:インフラエンジニア (基幹系、オンプレ多し) 2017~2018:セキュリティエンジニア(派遣) 2018~:フリーランス
eLV セキュリティシリーズ#2 あと週2ぐらいなら働ける
アプリ開発者 インフラ ネットワーク セキュリティ その他 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
前回、eLV勉強会にてOWASP Top 10をテーマに代表的 なWeb脆弱性を体験して頂きました。 SQLi,OSCMDi,XSS それ以外にも、OWASPの成果物でProactive Controlsと いうものがあります。 アプリケーション開発者が、予め念頭に置いておくべき10 の項目をまとめたもの
eLV セキュリティシリーズ#2 https://drive.google.com/file/d/0B2_ziyIoPpCNXzhJRkdrcEx4Q1U/view
eLV セキュリティシリーズ#2 https://www.owasp.org/index.php/Japan Webをはじめとするソフトウェアの セキュリティ環境の現状、 またセキュアなソフトウェア開発を 促進する技術・プロセスに関する 情報共有と普及啓発を目的とした プロフェッショナルの集まる、 オープンソース・ソフトウェアコミュニティ
です。
今はProactive Controlsについて詳しく話はしません! ゲームの中で、Proactive Controlsについて学んでいき ましょう! eLV セキュリティシリーズ#2 1.早期に繰り返しセキュリティを検証する 6.適切なアクセス制御の実装 2.クエリーのパラメータ化
7.データの保護 3.データのエンコーディング 8.ロギングと侵入検知の実装 4.すべての入力値を検証する 9.セキュリティフレームワークやライブラ リの活用 5.アイデンティティと認証管理の実装 10.エラー処理と例外処理
eLV セキュリティシリーズ#2
元々は16世紀インド発祥のスゴロク(子供向けゲーム) 詳しくはWikiPediaで! 善行を積めばハシゴを使ってゴールに近づき、悪行を積め ばヘビに呑み込まれてゴールから遠ざかる。 eLV セキュリティシリーズ#2 https://ja.wikipedia.org/wiki/蛇と梯子
OWASPのゲームですので、以下のように読み替えます 善行:脆弱性に対して、予め対策ができている ⇒Proactive Controls Top 10 悪行:脆弱性に対して、対策を講じずに悪用された ⇒脆弱性Top 10 eLV
セキュリティシリーズ#2
遊び方はほぼスゴロクと一緒で、サイコロを振ってコマ を進めますが、止まったコマが ヘビの頭のコマ:シッポへワープ(戻る) ハシゴの下段のコマ:上段へワープ(進む) eLV セキュリティシリーズ#2
オリジナルのヘビとハシゴとの差異(ローカルルール) 本家は他のプレイヤーと同じコマに止まった場合、背中に乗 れますが、今回は無しでいきます。 自分の力だけでゴールを目指しましょう! ゴール丁度の目が出なくても、ゴールとします! ヘビ/ハシゴコマに止まった場合のペナルティ(ご褒美) OWASP Top 10およびProactive Controlsの内容を確認して
ください。 何の脆弱性に引っかかってしまったか/何の対策が打てていた か? eLV セキュリティシリーズ#2
ゲーム盤に記載されている脆弱性(Ax)、Proactive Control(Cx)は、それぞれ最新版の適用とします。 それぞれのリリース年が異なるため…順位だけ参照 脆弱性Top10:2017年版 Proactive Controls:2016年版 eLV セキュリティシリーズ#2
eLV セキュリティシリーズ#2
アンケには是非ご協力お願いします!m(_ _)m タイミング合えば、OWASP PRチームにてLT(フィードバック) してきます! ⇒やるしかないんだ…(`・ω・´) eLV セキュリティシリーズ#2 https://owaspprteam.connpass.com/
大体21:00目途に終了しますので、それまでにゴールを 目指しましょう! eLV セキュリティシリーズ#2
zash_shibainu
mayatellez
chrisshort
jcasabona
thirion
soudai
jacobian
axbom
lara
tapps
zakiyama
portentint
chriscoyier
