MBSD2019メモ

# MBSD2019メモ ###### tags: `MBSD Cybersecurity Challenges` 第1位：0xDEADBEEF 第2位：0>ping 78.75.72.83 (NKHS) 第3位：村上製作所 ## ECC_１年生 * サイトで発見した脆弱性 * SQL,XSS,XXE,etc... * 深刻度が高いものを優先 * SQL,XSS * 基本的に局所保護はしない * 対策方法 * エスケープ、バリデーション * <動画> * 対策前と対策後 * 3->0へ独自ルール * 不正なアップロード・意図しないファイル公開への対策 * まとめ * サイト改変防御 * 迅速かつ簡単な導入 * さまっざまな脆弱性対策 Q:HTTPSも入れたい(lets enctypt)、サーバーの設定が変更されてしまう。どうすれば？ A:そういった場合でも対応します(見積対応) Q:独自ルールの考案、何を元に作った？ A:OWASP ZAPでペネトレーションテスト、高い脆弱性を対処、ルールに関しては大まかに設定 Q:↑で攻撃、そういったルールを作成？ A:はい ## 電子遊戯部新潟コンピュータ専門学校 7:11 * WAF機能気になる点 * 攻撃防げる？ * 今後の攻撃対応できる？ * サービス影響ない？ * 私たちのWAF特徴 * バージョンロールバック * 環境に適した防御選択 * GUIによる操作(管理画面) 1. 攻撃 * 現状 * SQL,LFI,XDD * 攻撃事例紹介 * シグネチャ(ルール)追加 * chainでAND条件 * Forbidden返す * いろんな攻撃防ぐ 2. 最新の攻撃対応 * 情報通知 * 攻撃通知も * シグネチャアップデート * GUIでも通知 3. サービス影響 * GUIでバージョン選択→適用→OKでバージョンロールバック * シグネチャ切り替えも可 * シグネチャ次第で値段決定 * まとめ(始めのやつ) Q:(毎月更新、月額費用が気になる)更新の作成方法 A:ハニーポッドへの攻撃確認、インターネットからの情報からシグネチャ作成 Q:シグネチャファイルの容量 A:そこまでない、アップデートボタンで0.5秒くらい、テキストファイル Q:費用月額毎月？売り切りでアプデ費用？ A:初期費用だけ、シグネチャごとで値段決定 Q:ロールバック等は実際作った？ A:作った。アップデートサーバーも、ちゃんと検証して嘘はない(笑) ## 情報セキュリティDチーム(ナイスタックるん) 8:20 * 中小企業のウェブサイトが狙われている！ * リアルタイム監視・分析 * 自動ブロック * 安全なサイトを実現 * 特徴 * バリア創造オヤジ(B-S-O!) * 安全性向上 * 年中無休24365 * 低価格 * メリット 1. 年中無休24365 2. 教材モニタリング価格 * 実習教材 * 454,000円 * 14営業日程度 3. サポート無料 * 防衛性能 * SQL,XSSが90%以上(IPA) * ↑が多数見つかっている * 見つかった脆弱性 * SQL,XSS * 正規表現のルールセット適用 * /ftp * オープンリダイレクト * 全て防御 * まとめ(特徴) (テレフォンショッピングみたい(笑)) Q:脆弱性診断をして、見つけたもの以外は存在しなかった？ A:勉強不足で確認できなかった Q:(価格表から)社保は払う？ A:原価なもんで(笑)勉強させていただく ## 0xDEADBEEF ECCコンピュータ専門学校 6:45 * リバースプロキシ型WAF * 設計思想 * OWASP Top 10 - 2017 * WAFの機能 * 9個 * 文字チェック * シグネチャ漏れを防ぐ * SQL コメント削除、lower、シグネチャ確認 * XSS デコード、lower、空白削除、シグネチャ確認 * JSf*ck * 一定以上の特殊文字ブロック --- * cookie改ざんとCSRF * WAFセッションID * cookie保護 * CSRF * formがあればCSRFトークン挿入 * まとめ * 誤検知減 * OWASP Top 10対応 * Log取ってる Q:CSRFトークン等、何か参考に？ A:特に参考せず、自分の思い付きで入れた Q:SQLコメント削除コメント部にも有効なものを入れれる、そこらへんのparse A:独自のparse、コメント部でも取り出して処理可能 Q:OWASP Top 10内でも対策できないものと理由 A:10には対応、対応していないのはファイルアップロード(jpg内に悪意のある文等) Q:誤検知が減らせる理由 A:正規表現使わずparse、正規表現使うよりは減らせる ## てっててー ECCコンピュータ専門学校 --- 休憩 --- ## PITM 4:50 #### Pegasus * アジェンダ * 概要 * Node.js * 設定方法 * CSVに記述 * pathname,query,value * 使用例(SQL) * メアド、パスワードが抜き取られる * Blockと表示 * 他との比較 * ModSecuriy * このWAFはクエリごとにできる * プラン * Basic * 設定まで全て弊社 * Custom * 安い * まとめ * 柔軟な設定 * 高精度なブロック * 選べるプラン Q:なぜNode.js？ A:modsecは難しそう Q:Modsecも評価できるのでは？ A:ルール設定しかできない、柔軟性が高い Q:basic、脆弱性診断で見つかったのは全部とめれる？ A:はい Q:ツールを使ったもの以外のルール追加は？ A:できます ## 創造社デザイン専門学校情報セキュリティBチーム創造社デザイン専門学校 7:50 * 感謝 * 効果的に台頭できる脅威 * 個人情報摂取 1. ディレクトリトラバーサル 2. XSS 3. SQL * ↑を防ぐと86%対応 * 弊社WAFの有効性 * DT * /ftp * Not Acceptable * ホワイトリストで制限 * XSS * UserProfile * Forbidden * パケット見てブロック * SQL * ログイン画面 * 赤文字長文 * パケット見てブロック * リスク対応の図 * 許容したのはリスク保有 * 導入費用50万、月額なし Q:XXE等あるだけで問題のあるものの対応 A:データベースへの更新・取得があるか、今後検討 ## NKC_KY 名古屋工学院専門学校 7:10 * 2人チーム * 普段の紹介 * 自己紹介 * WAF概要 * ベースはmodsec,crs * CRSとは * OWASPとは * OWASP Top 10 * CRSの中身 * チューニング内容 * ルール書き換え * ルール追加 * アプライアンスでリバースプロキシ * 防げる攻撃 * SQL,DT,XSS(CRS) * XSSはmod_rewrite * 巨大ファイル,BOT,C&C * 防げない攻撃 * 侵入したウイルス * 推測できるパスワード、質問 * DOMベースXSS * 防がない * IPでのアクセス * 非公開内の公開ファイル * 完全に非公開 * ページ毎入力値の制限 * 参加して Q:(レポートから)C2サーバーもブロック？ A:アクセスする元はブロック Q:直でつなぐのでは？ A:感染した場合は無理、WAFを通る場合はブロック、感染後はWAFでは無理 Q:WAFで対策できないものはどう対策？ A:(例えば)Top 10 10位の保護されていない、パスワードの複雑等はWEBサーバーで ## >ping 78.75.72.83 北海道 * 問題提起 * WAには脆弱性多く存在 * そのために * 脆弱性検出 * 攻撃と影響 * 対策 * ツール * Postman * 対策 * Modsec * 対策メリット * 信頼性向上 * 会社安全性保障 * 脆弱性 * ログイン,データ操作,DBアクセス * 影響 * 総当たり * ログインされる可能性 * 3回ミスで60秒 * セッション中断、DoSも対策 * SQL * secmarker(ホワイトリスト) * メアドに入れれないよう * XSS * 正規表現確認 * Forbidden * DOM basedは無理 * スクリプトに問題 * DT * /js/1.php * アクセス禁止 * まとめ * 3つの主な脆弱性対策 * 正常通信優先 * secruleの短縮化 (2回まで、仏の顔より厳しい(笑)) Q:3回ってのはどこから？ A:一般的に3回 Q:POSTだけ、GETは？ A:GETも見たけど私たちのチームはPOSTをメインで ## 村上製作所 3位新潟コンピュータ専門学校 8:10 1. WAFに必要なもの * 攻撃を防ぐ * 正常通信を防がない * **可視化**(目玉) 2. 可視化メリット * 誰でもわかる * 迅速な対応 * 可視化について * iLogScanner * メールでお届け * URL付き、レポート見れる 3. WAFの機能 * Top 10 * SQL,OSコマンド,DT,XSS,セッションハイジャック,パスワード漏洩 * XSSのルールコード * \<script> * Forbidden 4. 利点 * 可視化、検知→メール Q:(レポート)400を30秒50件で2時間ブロック、大丈夫？ A:削除したほうがいいのかなと思い、削除しました Q:発表は村上じゃない？ A:活躍してないので発表くらいは... Q:サポート依頼すると思うので、このチームの強み A:**可視化** Q:**チームの強み** A:仲の良い4人、カラオケとか行く結束力のあるチーム ### ミニセミナー #### エンジニアの採用環境について * もっとレベルの高いサービス * 五本指に入るレベル * 毎年中中途採用、新卒も少し * 260人超え * 安定的な基盤 * さらに会社としての魅力 * 会社がどんな取り組み？ * 社員自ら研究、発表、形 * 採用の現場 * 中途の人がどういう観点で仕事を選ぶのか * 先々に成長してる人の過去を振り返る * 目的をちゃんと考えている人ほど経験値が高い * 会社の枠を超えて活躍している * 目的・目標を自分なりに考える * 目の前のことだけ見て受ける人もいる * 弊社は自分で自分の道を切り開く * 成長できるし社会に役立つ #### Let yourself go, Let myself go * 今回変えた点 * 新たなチャレンジとして実機 * 思惑はなく、チャレンジしてみたかったから * 前日も昼～7時までトラブルシューティング * なぜWAFか * Red Team(攻撃側)ではなく、Blue Team(防御側)を競う内容に * (ハードルが高いほうが面白いね！(今は)) * Red Teamとは * 侵入して情報奪取等ができるか * Blue Teamとは * WAFに求められるもの * WAを改修する * セキュリティパッチ適用する * WAF=補完的、セキュリティレベルを上げるもの * WAFは必要か * WAを改修には時間かかる(ステージング)、攻撃されるリスクがある * ↑のような場合、有効 * WAFの導入 * ホワイトリスト形式が好ましい(バリデーションチェック) * 現実的には難しい * 全て把握は難しい * 特定のパラメータは許可する * その他はブラックリスト、そういったパターン * WAFを透過モードで監視し、シグネチャを良いか悪いか精査 * 時間がない場合 * WA診断は時間がかかる(何週間、何か月) * ブラックリストWAFは短期間導入可 * CLITICALな問題はWAFで止める * ブラックリストの場合、偽陽性偽陰性が発生 * 最終的には経営判断で導入可否 * WAF導入のリスク * 被害は結果を見ないとわからない * webサイトがわからない場合、どう考えてどうアプローチしたか今回気になる * 1999年 * DragonAsh(タイトル)リリース * (歌詞抜粋)大切なのは前に～ * 正解はない * どうやって正解を導き出すか * どうするか、どうやってベストを尽くすか * 色々経験を積むしかない * 知識をつけるしかない * 現場力 * ハードル高すぎたなぁ * 色んな意見が * いくしかない * AIが適合しすぎて過学習 * **AIのせい！** * 来年もっとハードル上げる？