読者です 読者をやめる 読者になる 読者になる

Logic Delight

明日のワシは忘れてしまうから、コードにはコメントを書くのです。

OWASP Night 10th @ ソフトバンク汐留

開催日時:2014/02/19 19:00-20:30

※このメモ書きを見つけて記事としてアップしたのは、2014/10/03です

APPSECについて

by 上野 宣さん

  • APPSEC APAC 2014 のWebサイト紹介(https://appsecapac.org/2014/)
    • About This Site
      • OWASPのプロジェクト
      • 日本のWebセキュリティ
      • 日本のモバイルセキュリティ
    • SCHED(スケジュール管理サイト)
      • Expand Viewで要Check
    • AppSensor(Product)
    • OWASP ZAP 日本語版ドキュメント

文字コードのセキュリティがどのくらい改善されたか(3年前との比較)

by 徳丸浩さん

  • WinXP sp3 (No patch) on Win8.1 vs WinXP latest IE6
  • 7種類のデモ
    • 5/7は処理系で対応済み
      • これらはプラットフォーム側で整備されるべきもの
    • 文字集合が変わる問題」はアプリ側で対処が必要
      • 入り口から出口までUnicodeで統一することを推奨

ソフトバンク脆弱性診断

by ソフトバンクのセキュリティを支えるチーム
洲崎さん、仲田さん

脆弱性診断の担当チーム

  • どんなことをしてる?
    • 内製で通信3社を診断
    • 受付サイト〜ポータル化
    • 大まかな診断内容
      • ネットワークの診断
      • Webアプリの診断
      • スマホアプリの診断
  • ネットワークの診断
    • ローカル&リモートの両側を診断
      • ローカル側の診断は現地に赴く必要が有るため工数が嵩む
      • 診断用端末貸出による工数削減、貸出端末30台くらい
    • Vulsプロジェクト
      • いつでも好きな時に診断を受けられるようなシステムを社内展開(予定)
  • Webアプリの診断
  • スマホアプリの診断
    • 簡易診断
      • プライバシー送出情報のガイドラインに準拠しているか?
        • Webで診断を自動化
          • プロキシで動的解析させる
    • 詳細診断

最近のOWASPプロジェクト

by 岡田 良太郎 (@okdt) さん

  • OWASP CISO Servey Report 2013
  • Xenotix XSS Exploit Framework Ver.5
  • Java Encoder 1.1.1
  • (1/29) インターネットセキュリティに関するOWASP宣言
    • インターネットが監視され過ぎていることへの警鐘
    • 日本語版を準備中
  • Top 10 Mobile Risks
  • 本日のクーポンコード:XXXXX
    • →APPSECの申し込み費用が0x13%OFFになる!