記念すべきイベント記の第一回目です
去年の夏ぐらいからたまにOWASPさんのイベントにお邪魔しております
今回は珍しくハンズオン形式
いわゆる「やられWebアプリ」を使って
実際に脆弱性を目にして、そこをつついてみました

OWASPとは

詳しくはこちら
簡単に言うと世界的にWebをなるべく安全なものにしようと
色々な活動をしている団体です
今回はそんなOWASPの中でも特に有名な『OWASP TOP 10』というものを用いて
脆弱性の基礎を学び、実際に手を動かして実感しました

OWASP TOP 10

OWASPの恐らく最大の成果であろう『OWASP TOP 10』
これはOWASPが世界中の脆弱性に触れている中で
特に注意しないといけない、近頃よく確認される
という脆弱性10個をまとめ、それに対する対策法などを書いているDocumentです
当初は開発者やマネジャーがセキュリティに対しての
意識を高めるために執筆がなされていたそうです
今ではアプリケーションセキュリティのデファクトスタンダードとなっています
日本語版がこちらから見れますので、ぜひ一度読んでみてください
そこまで長くないので、
流し読みだけなら通勤・通学中やちょっとしたスキマ時間で読めると思います

イベントでしたこと

まずは準備
Node.jsとBadLibraryとOWASP ZAPを入れておく
OWASP ZAPとはOWASP製の脆弱性診断ツール
プロキシサーバを建てて、通信内容の監視確認・改ざん編集ができる
そして実際にBadLibraryのBadなところを攻めまくる
図書館の借りた本を確認するサービスという設定
ぱっとみ普通に動くのだが(当たり前)、
定番ネタのインジェクションとかを突っ込むと案の定色々吐き出してくれる
他にもアクセス制御がしっかりできていなかったり、
データベースがしっかり暗号化ハッシュ化できていなかったりとイロイロいじった
詳しくは是非ご自身の手で触れてみてください
こちらから当日のスライドが見れます

イベントに参加して

• やっぱり実際に見たり触ったりするほうが理解できる
• 脆弱性いじるの楽しい
• でも実際にデプロイされているサービスにこんなもんがあると考えるとゾッとする
  1人の(自称)開発者としてこういうことはもっと積極的に学んでいかんとあかんなと思った

今回の交通費

660円 ※ジョルダン調べ