1. OWASP Japan: AppSec APAC感謝・報告など
2. Special Talk: DeNA杉山俊春氏: セキュリティ業務の内製とチームメンバー育成
3. Talk: 徳丸浩氏: Rails SQL Injection Examples関連
4. 福本佳成・岡田良太郎: CISOサーベイ2014作戦会議
----------
1. AppSec APAC
・OWASP関西の開催
HTML5 Security など
・OWASP福島も企画
・X Security Project(楽天の中の人が企画)
iPhoneアプリのソースコード解析ツール
X-CodeのPlugin
2. セキュリティ業務の内製とチームメンバー育成
・業務内容
全社システム、海外アプリを担当
診断対象:
・ゲーム全般(iPhone, Android, ブラウザゲーム)
・Mobageなど
セキュリティの相談・設計
社内ネットワークセキュリティ
・なぜ内製か?
スピート、スケジュールの柔軟性
・即時対応、スケジュールのfixができない
コスト(委託費用)・網羅性
・セキュリティのコストを考慮できない(開発費に含まれない)
ゲーム系の知識がない
特定の言語にしか対応できない
・ngCore, Unity, Coocos2D, Adobeなど
・セキュリティ人材
興味をもつ、覚えられる人
・人材育成
楽しくできる
セキュリティの最前線である意識
暗記でなく理論を考える
・評価
アプリの診断数
相談数(部署間との)
3. Rails SQL Injection Examples関連
・ORDER BY句に式を挿入
・攻撃者が確認できるデータをセパレータにし、存在する、しないで上下にわける
・PostgresSQL, Railsでは複文で実施可能
列名をAsで置き換える。
・表明、列名によるSQLI
列名の許可リストを作成する。
列を数字で指定して、内部で変換する
・ActiveRecordのメソッドには与えられた文字列がそのままSQL文に展開されるものがある。
4. CISOサーベイ2014作戦会議
・ここ最近の脅威に関する状況
・予算、投資の状況とプライオリティ
・体制、ツール、フレームワークなど組織的な取り組みに関して
- APのセキュリティリスクが増加傾向である。
- 組織の外部脅威からのリスクが増加
CISOサーベイをやるためのボランティアを募集
アイディア、協力者を募る。日本語版の作成。。。
0 件のコメント:
コメントを投稿