kotakanbe (@kotakanbe)


参加する勉強会



過去の勉強会

6/22 (土)

67bfef72f413200df049f8ded1785730 OWASP Nagoya
OWASP TOP 10のリスクを体感してみよう
OWASP TOP 10のリスクを体感してみよう 今回のチャプターミーティングでは、OWASP Kansaiとのコラボ企画のハンズオンです。 【初心者大歓迎!】やられWebアプリケーションをつかってOWASP TOP 10に掲載されている脆弱性を自分の手で実感してみよう! 今回はOWASP Kansaiで開催した「やられWebアプリケーション」へ実際に攻撃をかけることで、OWASP TOP 10に掲載されている脆弱性を自分の手で実感してみるハンズオンイベントになります。 特別講師 OWASP Kansai 桝谷氏、安達氏 対象者 セキュリティ初心者大歓迎です 普段診断を行なっているっていうプロやセミプロの方は混雑具合に応じてご配慮頂けると助かります 自分でWebアプリケーションを作ってはいるけれど、セキュリティの検査って何からどうすればいいのかわからない人 OWASP TOP 10って存在は知ってるけど中身はちゃんと知らないよっていう人 使用ツール やられWebアプリケーション BadLibrary 事前準備 手元のPCにNode.js(8系(8.11.1や8.15.0)推奨)をインストールしてください。 BadLibraryのZIPをダウンロードしてください。 ZIPをダウンロードしたら展開し、BadLibrary/src ディレクトリ内で npm install を実行してください。 BadLibraryをインストール後にログインできることを確認してください。 ご準備いただく持ち物 ノートパソコン(メモリ8GB以上推奨) 延長コード 会場 株式会社中電シーティーアイ(CTIイノベーションLab(ラボ)) NHK名古屋放送センタービル 20F 名古屋市営地下鉄 東山線・名城線「栄」駅下車、徒歩約5分。 開催ビル棟の20Fのエレベータ前でOWASPストラップを付けたスタッフがいます。会場までの行き方に関しては、スタッフにお申し出ください。 タイムテーブル 時間 内容 発表者 13:00 開場 13:30 - 13:45 OWASP Nagoya運営からの説明 OWASP Nagoya Chapter 坂梨、村井 13:45 - 14:00 自己紹介タイム 各グループ 14:00 - 14:30 OWASP TOP10概要説明 OWASP Kansai 桝谷氏、安達氏 14:30 - 14:45 休憩 14:45 - 15:45 OWASP TOP10ハンズオン(前半) OWASP Kansai 桝谷氏、安達氏 15:45 - 16:00 休憩 16:00 - 17:00 OWASP TOP10ハンズオン(後半) OWASP Kansai 桝谷氏、安達氏 17:00 - 17:15 クロージング OWASP Nagoya Chapter 丹羽 お願い 参加者の方は上記事前準備(Node.jsとBadLibraryのインストール、動作確認)を予め実施の上、参加ください。 Node.jsはWindows、Linuxともに「8系(8.11.1や8.15.0)」をインストールしてください。 電源に限りがあります。電源タップを持参するなど周りの方とシェアしてください。 飲み物は、ペットボトルなどふた付きの飲み物のみ持ち込みできます。 コンビニのカップコーヒーは持ち込みできません 主催 OWASP Nagoya Chapter OWASPとは OWASP - Open Web Application Security Project は、Webシステムをはじめとするアプリケーションソフトウェアのセキュリティについての情報共有と、セキュアなソフトウェア開発を促進するための普及・啓発を行うオープンコミュニティです。 OWASP Nagoya は東海地区におけるOWASPのローカルチャプターとして活動をしております。 OWASP Nagoya 各ページ 公式ページ https://www.owasp.org/index.php/Nagoya Facebook https://www.facebook.com/owaspnagoya/ Twitter https://twitter.com/owaspnagoya/ Slack こちらから登録してください

6/21 (金)

A6865c264599269afa86181f29a29676 FutureVuls
OSS Vulsの紹介、クラウドサービスで検知した脆弱性を楽に優先順位付けする方法を学ぶ
セミナー内容 第1部 脆弱性情報の読み解き方講座 脆弱性情報の読み解き方講座、として以下のことをお話します。 脆弱性対応の必要性 脆弱性対応として、やるべきこと 脆弱性情報の読み方 脆弱性攻撃デモ 脆弱性対応としてやるべきこと では、情報の収集/深刻度等の確認/適用に関する判断/適用/記録 について、考慮すべき点をあげていきます。 また、脆弱性情報の読み方としては、主にCVSSの読み方や影響有無の考え方、などをあげていきます。 脆弱性を放置することでどのようなことが起こるのか、簡単ではありますが、デモンストレーションを行います。Remote Code Execution(遠隔のコード実行)とは、Directory Traversal(ディレクトリトラバーサル)とは、緩和策とは、などをお話します。 第2部 脆弱性スキャナVulsの話です。OSS Vuls作者の神戸がデモを交えながらVulsについて解説した後、検知後の対応判断、優先順位付け、運用までをサポートするVulsクラウドサービスの話をします。 脆弱性スキャナを用いて検知した大量の脆弱性、運用で困っていませんか?CVSSスコアだけでは判断は不十分です。脆弱性をどう優先順位付けしてさばいていくのか、運用者が大変な判断をサポートするVulsのSaaS版であるFutureVulsをデモを交えて紹介します。 具体的には、講義後には以下の疑問が解決した状態となることを目標とします。 システムに潜在する脆弱性リストを見たい 検知した脆弱性が、システムのどのサーバ、どのソフトウェア該当するのかを知りたい どの脆弱性が緊急で対応しなければならないか、その判断方法をしりたい JVN, NVDなどの脆弱性情報を読み解くコツを知りたい CVSSスコア、メトリクスを自社環境や攻撃コード公開状況に合わせて再計算する方法を知りたい 潜在する脆弱性の対応状況を効率よく管理したい(リスクを許容する、パッチを当てたなどのステータス管理) VulsのOSS版とクラウド版の違いを知りたい 第3部 飲み行くべ!(良い場所が有れば、教えて下さい!) タイムスケジュール 時刻 所要時間 内容 18:10- 20分 開場 18:30- 90分 開始, 第一部 20:00- 60分 第二部 21:00 撤収 終了後、懇親会移動開始 注意 なお、本プライベートセミナーは、質問しやすいように少人数で行います 内容は随時更新していきます。 日程、開始時間、終了時間は変更される可能性あります。 終わったら懇親会にいく可能性があります 最少開催人数7名(満たなければ中止の可能性あり) 講師紹介 講師:神戸康多 GitHub Twitter FB フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアアーキテクト。OSSの脆弱性スキャナ「Vuls」作成者。HITCON, Open Source Summit North Americaなど海外カンファレンスで発表、セキュリティキャンプ全国大会2017, 2018、NICT主催の東京2020大会に向けたサイバー演習による人材育成 サイバーコロッセオ 講師。国内カンファレンス登壇多数。一万人以上のエンジニアが参加する情報収集用公開Slack「モヒカンSlack」総裁。髪型はちょんまげ。 講師:井上圭 Github Twitter FB フューチャー株式会社サイバーテクノロジー・イノベーショングループ所属シニアコンサルタント。関東にて、IoTSecJPの運営、脆弱性対応研究会 同勉強会の主催、など。OWASP Connect in Tokyo #2で登壇。ドローンセキュリティ(アンチドローン/Counter Drone)なども調査しています。