第14回ゼロから始めるセキュリティ入門 勉強会に参加してきました

おはようございます､加藤です｡昨日セキュリティ系の勉強会に参加してきました､概要をお伝えいたします｡

情報

• 日時: 2018年3月26日(月) 19:30〜21:30
• 場所: コワーキングスペース秋葉原 Weeyble（ウィーブル)

内容

3名の方がセキュリティに関するLTを行いました｡現在､資料が公開されておらず､公開しない可能性があると伺ったので概要をお伝えします｡

常時開催のオンラインCTFやってみた

ytakahashi1228さんが発表されました｡

CTFとは

CTFの概要について説明がありました｡

• コンピュータセキュリティを競う競技
• 攻撃・防御ともに行う
• 実践を通してセキュリティ技術を磨く

問題のジャンル

CTF問題のジャンルについて説明がありました｡

• リバースエンジニアリング
• フォレンジック
• Pwnable
• Web
• Network
• Miscellaneous

やってみたオンラインCTF

ytakahashi1228さんがオンラインCTFに挑戦した時の回答方法や考え方について説明がありました｡

ksnctf: https://ksnctf.sweetduet.info/

挑戦したオンラインCTFは上記のページです｡

CSP (Content Security Policy) 入門

lmt_swallowさんが発表されました｡

CSPとは

CSPの概要について説明がありました｡

• JSやCSS､埋め込みコンテンツなど様々な要素のソース・ターゲットを限定する機構
• XSS対策に効果がある(正しく設定するのが前提)

CSPとSOPの違い

CSPとSOPの違いについて説明がありました｡

• SOPだけでは同一オリジン内の情報は流出の危険がある
• アクセスされる前に防ぐのがCSPの役割

CSPをどう導入するか

CSPの導入について具体的な方法の説明がありました｡

• インラインスクリプト・eval系の外部スクリプト化
• Content-Security-Policy または Content-Security-Policy-Report-Only ヘッダを利用

CSP導入の課題とその対処

既存サイトにCSPを導入する際の課題・対処方法について説明がありました｡

• 動いていたものが動かなくなる
• ロード元が多くてホワイトリストが肥大化
• 依存関係がわからない(CSP2までの悩み)

CSRFについて考えてみた

tokorotenさんが発表されました｡

CSRFについて

CSRFについて概要の説明・過去にあった攻撃事例の説明が'ありました｡

• ぼくはまちちゃん事件
• 最近OWASP TOP10 から外れた
• 脆弱性が消えた訳ではないので当然対策は必要

攻撃デモ

とあるECサイトパッケージを意図的に旧バージョンの脆弱性を発生させた状態で構築し､攻撃を行いました｡

• BurpSuiteを使ったリクエスト確認・改変
• GETをPOSTに変換
• URLをクリックすることで､ターゲットをサイトから解約させる攻撃

攻撃デモからの学習

• 退会などの重要な処理前にはパスワードの再確認を要求することで対策できる
• 何でもかんでも(問い合わせページ)要求するとユーザエクスペリエンスを阻害する

感想

セキュリティ系の勉強会に参加したのは初めてで大丈夫かなと不安でしたが､皆さん丁寧に説明して頂いたお陰で理解できました｡復習して､しっかりと知識を定着させていきます!