2015年10月20日火曜日

WordCamp Tokyo 2015にて講演します

WordCamp Tokyo 2015にてウェブセキュリティの話をします。

日時:10月31日(土)10:00~17:00(徳丸の出番は14:10から)
場所:ベルサール神田(東京都千代田区)
費用:500円(申し込みはこちら
講演タイトル:Webサイトをめぐるセキュリティ状況と効果的な防御方法~WordPressを題材として~(アジェンダ

実は、WordPressを題材にした講演を今までしたことがありませんで、事務局からの依頼には当初「WordPressに特化した話はできないけどいいですか」と質問し、「一般的なウェブセキュリティの話をしてくれればよい」という回答でしたのでお引き受けしました。

しかしながら、WordCampでJoomlaやDrupalのデモをするのはいささか礼を失するという思いと、やはりWordCamp来場者にはWordPressを使ったデモをしたほうが訴求するだろうと言う思いから、全体としてはウェブセキュリティの一般的な話を踏まえつつ、題材はWordPressを使うことにしました。そのため、デモは使い回しではなく、WordCamp用に新たに用意いたしました。

現在準備しているデモシナリオは下記となります。

シナリオ1-1: レンタルサーバーの利用者suzukiがWordPressのプラグインの脆弱性により侵入される
シナリオ1-2: suzukiと同じレンタルサーバーの利用者tanakaがシンボリックリンク攻撃により侵入される

シナリオ2: CGI版PHPの脆弱性(CVE-2012-1823) により、png画像に偽装したPHPスクリプトのアップロードと、.htaccssの改ざんをされる

シナリオ3: カスマイズとして追加したPHPスクリプトのSQLインジェクション脆弱性によりWordPressの管理者ユーザを追加され、不正ログイン

シナリオ4: WordPressサイトにパスワード辞書攻撃により侵入される


…どこかで見たようなシナリオだなとお気づきの方もおられると思います。上記シナリオは、現実にあった事件の再現(シナリオ1と2)や、頻繁に発生している事件をベースにしています。

上記シナリオはWordPressを使ったサイト(およびWebサイト全般)に対する主要な侵入経路を網羅していますので、これら経路を把握したうえで、その対策を施すことによりサイトの安全性を向上させることに寄与できると思います。
残念なことに、一般に「WordPress向けセキュリティ対策」として流布されている情報の中には、効果のあまりないものもあります。本セッションでは、効果的な対策を厳選して紹介したいと思います。

それでは、WordCampでお会いしましょう。

新刊「徳丸浩のWebセキュリティ教室」10月22日発売です

拙著「徳丸浩のWebセキュリティ教室」が10月22日に発売されます。Amazon等では既に予約開始されています
本書は書きおろしではなく、日経コンピュータ誌に連載したエッセイを、ほぼそのまま並べ直した形となっています。前著「安全なWebアプリケーションの作り方」のようながっつりした技術書ではなく、もう少し気楽な読み物として、技術者以外の方々にも読んでいただける内容になっている…と思います。


目次は、日経BP社のページから「目次を見る」で閲覧できますので、購入前の参考になさってください。

日経コンピュータ誌連載になかったものとして巻頭言があります。これはインタビュー記事ですが、カメラマンが弊社に来られて、生まれて初めて本格的な撮影をいただきました。写真を見るのが怖いですねw

元々がエッセイの連載ですので、本書の内容には、時事ネタあり、対策の考え方、ネットで論争となったあのネタ…等、様々です。

既に「ポチった」とか「予約した」という声も見かけていてありがたいのですが、「ガッツリした技術書ではなく気楽な読み物」であることを考慮いただければと思います。「期待と違った」という方は、予約をキャンセルしていただければ…あるいは、「自分では読まないけど、営業や上司に読ませたい」というのはありだと思います。

それでは、発売までしばらくお待ち下さい。

2015年10月1日木曜日

PHPカンファレンス2015にてトークします

PHPカンファレンス2015にてトークする機会を頂きましたので報告します。

日時:2015年10月3日(土曜日) 10時~17時(徳丸の出番は10:50~11:50)
場所:大田区産業プラザ PiO
費用:無料
講演タイトル:今どきのSQLインジェクションの話題総まとめ

講演の概要は以下となります。技術よりの話題で、デモあり(たくさん仕込みたいですね)、初級~中級です。
  • SQLインジェクション対策もれの責任を開発会社に問う判決
  • PHP入門書のSQLインジェクション脆弱性の状況
  • O/RマッパやSQLジェネレーターのSQLインジェクションの話題
「SQLインジェクション対策もれの責任を開発会社に問う判決」はこちらで記事に書いた内容の紹介になります。問題のECサイトはEC-CUBEをカスタマイズしたものでしたので、つまりPHPで書かれたアプリケーションのSQLインジェクションだったというわけで、PHPカンファレンスの来場者にとって切実な話題ではないかと思います。

PHP入門書のSQLインジェクションについては、明るい話題になるのではないかと思いますw

O/RマッパやSQLジェネレーターのSQLインジェクションの話題については、以下を紹介しようと思います。
  • Rails SQL Injection Examplesの紹介
  • Zend FrameworkのSQLインジェクション
  • JSON SQL Injection
  • Drupageddon(CVE-2014-3704) 
RailsはPHPじゃないじゃないか…というツッコミが入りそうですが、フレームワークやO/Rマッパを使う上で注意すべき内容として、PHPプログラマにも参考になる話題です。そして、Zend FrameworkのSQLインジェクションでも類似の問題が出ていることも、その主張の補強になると考えます。
JSON SQL Injectionは奥一穂さんや、はるぶさんからPerlを題材として紹介されたものですが、実はPHPの方が問題になりやすいという紹介になります。
Drupageddonは、日本ではあまり話題になりませんでしたが、大変凶悪な脆弱性として世界レベルで問題になりました。技術的にも大変興味深いものですし、SQLジェネレーターを作る側としての注意点として参考になるものです。

そして…
Makoto Kuwataさんからは、私のトークに対する「回答」と思われる講演が用意されていますね。示し合わせたわけではありませんので、余計に素晴らしいと思いました。
ということで、
  • まず徳丸の講演で問題点を知る
  • kuwataさんの講演で対応の考え方を知る
という、セットでお聞きになるとよろしいかと思いますw

それでは、10月3日PiOでお会いしましょう。


【HASHコンサルティング広告】
HASHコンサルティング株式会社は、セキュリティエンジニアを募集しています。
興味のある方は、twitterfacebookのメッセージ、あるいは問い合わせページからお問い合わせください。


フォロワー