船井総研デジタルのよもぎたです。
サマリ
先日参加させていただいた三井物産セキュアディレクション株式会社さん(MBSDさん)のWebセキュリティ診断の勉強会がとても良かったのでお勧めしたいです。過去にも同じ内容で開催されているということで、今後も開催していただけるかもしれません(ぜひ開催していただきたい)。その時ご都合が合えば参加してみてはいかがでしょうか。
勉強会の概要
勉強会と銘打って開催されていますが、実際は講習+ハンズオンでした。HTTP通信の内容の基礎的な説明やハンズオンで使うBurp Suiteの無償版のセットアップと使い方に始まります。ハンズオンではそのために用意されたSNSサービスにある脆弱性が示されて、実際にその脆弱性をついて「被害」を体験しました。
どんな脆弱性を突いたか
Webサービスの脆弱性というと、クロスサイトスクリプティング(XSS)やSQLインジェクションを思い浮かべる方が多いかと思います。しかし、ハンズオンで取り上げられた脆弱性はそういった「典型的なモノ」とは一味違いました。具体的には、サービスの権限周りの仕様を適切に実装できていないというもので、それを悪用して越権行為が出来てしまう、というものでした。
例えば、SNSサービスで仕様上はフレンド登録は承認制なのに、承認を経ずに勝手にフレンドになってしまったりしました。
どういう学びがあったか
XSSやSQLインジェクションといった脆弱性は認知度も高く、コーディング規約を守る、フレームワークやライブラリを適切に使う、といったことで予防できることが多いと思います。しかし、この勉強会で体験した脆弱性はそれには当てはまらず、サービスの仕様に踏み込んだものでした。こういったモノは、単に開発者だけで予防するのは難しいと感じました。ビジネスサイドも巻き込んでサービスの仕様を詰めて、どうすべきかを決めて実装する必要があると感じました。
脆弱性診断、セキュリティ診断に興味がある方へ
勉強会、面白かったですよ!
特に、ブラックボックス(使い方や機能の説明が無いという意味で)のサービスを探索して行って、与えられたミッションを達成できそうなパラメータ改ざんポイントを探すのが楽しかったです!
最後に
内容を細かくお伝えするよりも、実際に参加していただいて実際に体験していただきたい!と思い、あえて簡易な記事にしています。次の機会を逃さないよう、勉強会のページをウォッチしたり、SNSをフォローしたりすると良いと思います。百聞は一見に如かず、です。
最後までお読みいただきありがとうございました。