Loading…
Join us at OWASP AppSec APAC 2014 !!
Tuesday, March 18
 

6:00pm PDT

Early Registration
Tuesday March 18, 2014 6:00pm - 7:30pm PDT
(2F) Lounge
 
Wednesday, March 19
 

9:00am PDT

受付 / Registration
Wednesday March 19, 2014 9:00am - 10:00am PDT
(2F) Lounge

10:00am PDT

Opening Session: Welcome to OWASP AppSec APAC
Moderators
avatar for Riotaro OKADA

Riotaro OKADA

lead, OWASP Japan
Born in Kobe, Japan, Mr. Okada, the executive researcher of Asterisk Research, has 20+ years of experience in software development and security. He is an experienced CISO advisor, PSIRT practitioner, and author who can implement information security programs. His field of work contributes... Read More →
avatar for Sen UENO

Sen UENO

CEO, Tricorder Co. Ltd.
OWASP Japan Leader.CEO Tricorder Inc. Japanese computer engineer and technical expert. Majored in Information Security at the Nara Institute of Science and Technology (NAIST). After successfully listing an eCommerce venture on the TSE Mothers exchange, Mr. Ueno founder Tricorder and... Read More →

Speakers
avatar for Tobias Gondrom

Tobias Gondrom

Global Board Member, OWASP
Tobias Gondrom is a global board member of OWASP (Open Web Application Security Project) and former chairman until December 2015. And until April 2015, he was leading a boutique Global CISO and Information Security & Risk Management Advisory based in Hong Kong, United Kingdom and... Read More →


Wednesday March 19, 2014 10:00am - 10:30am PDT
Secure Your Site Hall(HALL WEST)

10:30am PDT

キーノート「データライフサイクルを意識した情報セキュリティ管理の確立」/ Keynote "Deploying information security management for proper data life-cycle"
Speakers
avatar for 山口 英 / Suguru Yamaguchi

山口 英 / Suguru Yamaguchi

Suguru Yamaguchi is a Professor with Graduate School ofInformation Science, Nara Institute of Science and Technologyand former Advisor on Information Security to the Cabinet,Government of Japan.He was born in Shizuoka, Japan in 1964. He has D.E fromOsaka University, Japan. In 2000... Read More →


Wednesday March 19, 2014 10:30am - 11:20am PDT
Secure Your Site Hall(HALL WEST)

11:20am PDT

OWASP Top 10 2013
OWASP Top10は、Webアプリケーション・セキュリティのためのデファクトスタンダードとなっており、世界中の数々の重要な基準、例えばクレジットカード業界の規格(PCI-DSS)や、また様々なガイドラインに参照されています。
本講演ではOWASP Top10 2013が、前バージョンとどのように異なるのか、またその変更理由を示します。また、各項目について説明し、企業におけるリスクがどのようなものか、攻撃者はどのように攻撃してくるのか、さらには組織が所有するアプリケーションに対して、これを用いてどのようにリスク分析やリスク回避することができるのかを示します。
The OWASP Top 10 has become the defacto standard for web application security and is referenced by numerous important standards and guidelines around the world, including the Payment Card Industry (PCI) standard, as just one example.
This presentation will explain how the OWASP Top 10 for 2013 changed from the previous version and why. It will then briefly go through each item in the OWASP Top 10 for 2013, explaining the risks each issue introduces to an enterprise, how attackers can exploit them, and what your organization can do to eliminate or avoid such risks in your application portfolio.

Speakers
avatar for Dave Wichers

Dave Wichers

COO, Aspect Security
Dave Wichers is a cofounder and the Chief Operating Officer (COO) of Aspect Security, a consulting company that specializes in application security services. He is also a long time contributor to OWASP, helping to establish the OWASP Foundation in 2004, serving on the OWASP Board... Read More →


Wednesday March 19, 2014 11:20am - 12:20pm PDT
Secure Your Site Hall(HALL WEST)

12:30pm PDT

Lunch Time / By Your Self (B1F)
ランチは提供されません。付近のレストランなどをご利用下さい。
Lunch is not provided in the conference. Please use such as nearby restaurants.

Wednesday March 19, 2014 12:30pm - 1:30pm PDT
(2F) Lounge

12:40pm PDT

Press Conference
for Press

Moderators
avatar for Riotaro OKADA

Riotaro OKADA

lead, OWASP Japan
Born in Kobe, Japan, Mr. Okada, the executive researcher of Asterisk Research, has 20+ years of experience in software development and security. He is an experienced CISO advisor, PSIRT practitioner, and author who can implement information security programs. His field of work contributes... Read More →
avatar for Sen UENO

Sen UENO

CEO, Tricorder Co. Ltd.
OWASP Japan Leader.CEO Tricorder Inc. Japanese computer engineer and technical expert. Majored in Information Security at the Nara Institute of Science and Technology (NAIST). After successfully listing an eCommerce venture on the TSE Mothers exchange, Mr. Ueno founder Tricorder and... Read More →

Speakers
avatar for Tobias Gondrom

Tobias Gondrom

Global Board Member, OWASP
Tobias Gondrom is a global board member of OWASP (Open Web Application Security Project) and former chairman until December 2015. And until April 2015, he was leading a boutique Global CISO and Information Security & Risk Management Advisory based in Hong Kong, United Kingdom and... Read More →
avatar for Dave Wichers

Dave Wichers

COO, Aspect Security
Dave Wichers is a cofounder and the Chief Operating Officer (COO) of Aspect Security, a consulting company that specializes in application security services. He is also a long time contributor to OWASP, helping to establish the OWASP Foundation in 2004, serving on the OWASP Board... Read More →


Wednesday March 19, 2014 12:40pm - 1:10pm PDT
TERRACE ROOM

1:30pm PDT

WOMEN IN AppSec
Moderators
avatar for Robert Dracea

Robert Dracea

インターネット・サービス事業を展開する企業にて、グローバル戦略を担当。日本の高い技術力をグローバルに展開すべきとのミッションのもと、事業面では国内外のサービスとのアライアンス、ボランティアとしてOWASP... Read More →
avatar for Samantha Groves

Samantha Groves

Program Manager, OWASP
Samantha Groves is the Project Manager at OWASP. Samantha has led many projects in her career, some of which include website development, brand development, sustainability and socio-behavioral research projects, competitor analysis, event organization and management, volunteer engagement... Read More →

Wednesday March 19, 2014 1:30pm - 2:20pm PDT
TERRACE ROOM

1:30pm PDT

OWASP AppSensor - 未来のアプリケーションセキュリティのための道具として活用すべき理由 / Why OWASP AppSensor is the future of Application Security, and why you should be using it.
AppSensor Project は、既存のアプリケーションに対して侵入検知および自動応答を実現するための模範となる概念的なフレームワークと方法論を定義している。既存のアプリケーションに対して侵入検知と応答機能を追加することで有効利用されるAppSensorの作成に注力している。
OWASP の共同設立者である Dennis Grovesによる本講演で参加してOWASP AppSensor Projectについて理解を深めてください。
AppSensor はこれまでの10年においてアプリケーションセキュリティ分野でのもっとも機能が進歩したと確信している。これは大きな主張であるので、根拠を思考実験とメタファーを用いて示す必要があるだろう。根拠と主張の正当化に、思想とアーキテクチャと統計といった3分野を扱う。本講演の最後には主張に同意し、既存のアプリケーション開発に OWASP AppSensor を使いはじめるモチベーションになると思う。疑問と回答には公式発表として最近発行されたOWASP AppSensor Guide 2.0の「How to Guide for OWASP AppSensor.」を用いる。

The AppSensor project defines a conceptual framework and methodology that offers prescriptive guidance to implement intrusion detection and automated response into an existing application. Current efforts are underway to create the AppSensor tool which can be utilized by any existing application interested in adding detection and response capabilities. Learn more about OWASP AppSensor Project by attending this talk by OWASP Co-Founder, Dennis Groves.

I believe that AppSensor is the most important advancement in Application Security in the last decade. Now this is a very large claim, so I am going to need to justify my reasoning to you through a thought exercise and metaphor. My reasoning and justifications can be broken into roughly three key areas, philosophy, architecture, and statistics. I hope that you will agree with me at the end of the presentation and that it will
motivate you to start using the OWASP AppSensor in your application development practices. This talk will be the why, and serve as the official announcement of the recently published OWASP AppSensor Guide 2.0 which is the "Howto Guide for OWASP AppSensor."

Speakers
avatar for Dennis Groves

Dennis Groves

Co-Founder, OWASP
Dennis Groves is the co-founder of OWASP and a well known thought leader in application security who's work focuses on multidisciplinary approaches to information security risk management. He holds an MSc in Information Security from Royal Holloway, University of London. 


Wednesday March 19, 2014 1:30pm - 2:20pm PDT
HP Enterprise Security Hall(HALL EAST)

1:30pm PDT

OWASP Proactive Controls
OWASP Proactive Controls というプロジェクトは、開発者がセキュアなアプリケーションを開発する助けとなることを目的としています。このプロジェクトは、積極的かつテスト可能なやり方を示し構造化しています。また、10大ソフトウェアコントロールを示し、内容はこれに沿ってカテゴライズされています。そのため設計者や開発者は、開発プロジェクトにおいて100%どの行程においても参照すべきものです。
本講演では、重要なソフトウェアカテゴリーにおける次のような基本的なコントロールについて言及していきます。すなわち、認証、アクセスコントロール、バリデーション、エンコーディング、クエリーパラメータ、データ保護、セキュアな必要要件、セキュアなアーキテクチャ、セキュアな設計。

The OWASP Proactive Controls is a "Top 10 like document" aimed to help developers build secure applications. This project is phrased and built in a positive, testable manner that describes the Top 10 software control categories that architects and developers should absolutely, positively include 100% of the time in every software project.
This talk will cover the fundamental controls in critical software categories such as Authentication, Access Control, Validation, Encoding, Query Parameterization, Data Protection, Secure Requirements, Secure Architecture and Secure Design.

Speakers
avatar for Jim Manico

Jim Manico

Founder and Lead Instructor, Manicode Security
Jim Manico is the founder of Manicode Security where he trains software developers on secure coding and security engineering. He is also an investor/advisor for 10Security, Aiya, MergeBase, Nucleus Security, KSOC and Inspectiv. Jim is a frequent speaker on secure software practices... Read More →


Wednesday March 19, 2014 1:30pm - 2:20pm PDT
Secure Your Site Hall(HALL WEST)

2:30pm PDT

STUDENTS IN AppSec
Moderators
avatar for Riotaro OKADA

Riotaro OKADA

lead, OWASP Japan
Born in Kobe, Japan, Mr. Okada, the executive researcher of Asterisk Research, has 20+ years of experience in software development and security. He is an experienced CISO advisor, PSIRT practitioner, and author who can implement information security programs. His field of work contributes... Read More →
avatar for Sen UENO

Sen UENO

CEO, Tricorder Co. Ltd.
OWASP Japan Leader.CEO Tricorder Inc. Japanese computer engineer and technical expert. Majored in Information Security at the Nara Institute of Science and Technology (NAIST). After successfully listing an eCommerce venture on the TSE Mothers exchange, Mr. Ueno founder Tricorder and... Read More →

Speakers
avatar for Tsuyoshi Miki

Tsuyoshi Miki

OWASP KANSAI Chapter board member
avatar for Jun Yamadera

Jun Yamadera

ceo, ej
Born in 1968, Aizuwakamatsu Fukushima, JAPAN. Graduate Aizu High School in 1987. Tokyo Jungle Cruse Skipper in 1988. He worked for the University of Aizu, the 1st Computer Science University in Japan in 1993 and 1994, then he ounded the 1st hi-tech startup from u-aizu, Eyes, JAPAN... Read More →


Wednesday March 19, 2014 2:30pm - 3:20pm PDT
TERRACE ROOM

2:30pm PDT

それぞれの人のためのOWASPドキュメント / OWASP documents for every people
Top 10を初め、多数のOWASP無償ドキュメントにつきまして、全体像を紹介します。各OWASPドキュメントの内容、位置付けを説明します。開発者、検証者、組織など、それぞれに対して、参照すべきOWASPドキュメントをお薦めします。OWASPの無償ドキュメントをそれぞれ紹介し、普及を図ります。開発者、検証者などの視点から見て、役に立つOWASPドキュメントを推奨します。開発者のセキュリティに対する理解を得て、アプリケーションセキュリティの意識向上を目指します。

This session will introduce the overall picture of several free OWASP documents including OWASP Top 10.  The content and position of the documents will be discussed and OWASP documents that should be referenced will be recommended from various perspectives including those of developers, verifiers and organizations.This session aims to spread free OWASP documents by recommending useful documents from various perspectives such as those of developers and verifiers.  The goal is to increase awareness of application security by increasing developer understanding of security issues.

Speakers
avatar for 謝 佳龍 / Chia-Lung Albert Hsieh

謝 佳龍 / Chia-Lung Albert Hsieh

AVP, SinoPac Securities
大学院で情報セキュリティを勉強しました。博士課程にて、電子プライバシーについて研究しました。現在会社でアプリケーションセキュリティ診断の仕事をしています。OWASP Top10の2013年版を日本語に翻訳しました。OWASP... Read More →


Wednesday March 19, 2014 2:30pm - 3:20pm PDT
Secure Your Site Hall(HALL WEST)

2:30pm PDT

世界初のSaaS型WAFサービスの裏側 / Inside Story of the first SaaS type WAF Service
現在では定着した感のあるSaaS型という形態でのWAFの提供ですが、世界でもっとも早くサービスを開始したのは、実は日本人による国内の開発チームです。
今回のセッションではサービス開始から3年半を経たScutum(スキュータム)の開発者が、今の日本国内のウェブセキュリティ情勢を踏まえ、WAFサービスの裏側と、未来について語ります。

日本国内で運用されている数多くのウェブサイトの多くは未だセキュアだとは言い難く、この数年はWAFの導入によってセキュリティリスクを担保しようという動きが広がりつつあります。
数多くのサイトに導入実績を持つWAFサービスの開発者が直接、WAF導入のコスト・実際の効果や運用についての情報を提供します。
このセッションによって参加者は以下の情報を得ることができます。
・Scutum(スキュータム)のアーキテクチャについて
・ウェブサイトへの攻撃は本当に行われているのか、どのくらい行われているのか
・WAFの実際の効果はあるのか
・いくつかの事例
・WAF導入の際の技術的なトラブルや解決方法について
・攻撃を防ぐためにどのような技術が使われているのか
・WAFは今後どのように進化していくのか

The first WAF (Web Application Firewall) for SaaS applications (which currently have taken hold and become commonplace) was actually a Japanese team in Japan.
This presentation will consist of the developer of Scutum who 3 years after the initial development will analyze the current state of affairs of web security in Japan and discuss the hidden side and future of WAF.With many sites operated in Japan being far from secure, efforts to contain security risks through the implementation of WAF have increased in recent years.  With a track record including numerous sites, a WAF service developer with directly discuss the cost and benefits as well as the operation of WAF.  Participating in this session you can expect to gain the following information:
・the architecture of Scutum
・whether or not and how much attacks on websites actually occur
・the actual effectiveness of WAF
・various case studies and examples
・issues and solutions related to WAF implementation
・the technology used to defend against attacks
・how WAF will develop in the future

Speakers
SD

金床 / Kana Toko

1998年よりネットワークやセキュリティ関連情報を提供するJUMPERZ.NETを運営。Guardian@JUMPERZ.NET(Web Application Firewall), MonjaDB(MongoDBのGUIクライアント)などのオープンソースのツールを開発している。DNS Rebinding(あるいはAnti-DNS... Read More →


Wednesday March 19, 2014 2:30pm - 3:20pm PDT
HP Enterprise Security Hall(HALL EAST)

3:20pm PDT

Coffee Break
Wednesday March 19, 2014 3:20pm - 4:00pm PDT
(2F) Lounge

3:20pm PDT

Coffee Break
Wednesday March 19, 2014 3:20pm - 4:00pm PDT
TERRACE ROOM

4:00pm PDT

12の事例に学ぶWebアプリケーションのアクセス制御 / 12 Case Studies for the Access Controls of Web Application
Webアプリケーション脆弱性検査で見つかった12の事例を元にアクセス制御の問題がどのようなメカニズムで作り込まれるかを紹介し、そうならないために何に気を付けるべきかを開発者の視点に立って解説します。「OWASP TOP 10 - 2013」の「A4 -安全でないオブジェクト直接参照」や「A7 - 機能レベルアクセス制御の欠落」にランクインしているアクセス制御の問題は、インジェクションやクロスサイトスクリプティングと並んで大変危険な脆弱性です。
そもそもアクセス制御はWebアプリケーションの業務要件や仕様に基づいて実装されますが、セキュリティの問題なくアクセス制御を実装するために開発者はどのようにしたら良いのでしょうか。
このセッション発表では、Webアプリケーション脆弱性検査で見つかった12の事例を元にアクセス制御の問題がどのようなメカニズムで作り込まれるかを紹介し、そうならないために何に気を付けるべきかを開発者の視点に立って解説します。

"This presentation will introduce access control problems based on 12 case studies found through web application vulnerability examinations and discuss what mechanisms were built in as well as what points, from a developer’s perspective, need to be considered to avoid such problems.
Access control problems, which ranked in the “OWASP TOP 10 – 2013” under “A4 – Insecure Direct Object Reference” and “A7 – Missing Function Level Access Control” alongside injection and cross site scripting, are very serious vulnerabilities.  Although access control is implemented according to business requirements and specifications,what do developers need to do in order to implement access control without security problems?  This presentation will introduce access control problems based on 12 case studies found through web application vulnerability examinations and discuss what mechanisms were built in as well as what points, from a developer’s perspective, need to be considered to avoid such problems."

Speakers
avatar for 本田 崇 / Takashi Honda

本田 崇 / Takashi Honda

Security Diag. Group Leader, Signalbase Inc.
C/Sアプリ開発5年、Webアプリ開発5年、Webアプリ脆弱性検査7年の開発もセキュリティもやる兼業エンジニアです『脆弱性はどこにある?』をテーマにWeb... Read More →


Wednesday March 19, 2014 4:00pm - 4:50pm PDT
Secure Your Site Hall(HALL WEST)

4:00pm PDT

SSL設定の技巧 / The Art and Science of Configuring SSL
SSL/TLSを用いている既存のWebサイトを修正し、パフォーマンスの最適化と現状と将来において攻撃を防ぐ方法を学ぶ。
クライアント、エクスプロイト、プロトコルおよびコンプライアンスが爆発的に増加している現状では、SSL/TLSのウェブサイトを構成することが研究プロジェクトとなる。それはとても複雑である必要はない。SSLがどのように機能するのかを分かりやすく説明し、既存の設定と既存のクライアントの使用状況を監視する方法を提供する。現状と将来の脅威を俯瞰し、安全性やパフォーマンスや互換性のバランスのためにウェブサーバを最適化すればいいのかを本講演では、SSLの測定や使用状況を監視するなど管理に役立つツールを紹介する。

Speakers
avatar for Nick Galbreath

Nick Galbreath

Owner, Client9
Nick Galbreath is Vice President of Engineering at IPONWEB, a world leader in the development of online advertising exchanges and media trading platforms. Prior to IPONWEB, his role was Director of Engineering at Etsy, overseeing groups handling security, fraud, security, authentication... Read More →


Wednesday March 19, 2014 4:00pm - 4:50pm PDT
HP Enterprise Security Hall(HALL EAST)

4:00pm PDT

インターネット上の攻撃トラフィック実態 / The fact report of attack traffic on the Internet
弊社Akamai Technologies は、多くの著名なWebサイトを標的とした攻撃を受け止める過程で、攻撃の手口、発信源、規模などのデータと、防御について独自の知見を積み重ねています。その一端を公開しますので、皆様の防御環境構築の参考としていただければ幸いです。
まず著名なWebサイトを標的とした攻撃トラフィックがAkamai プラットフォームに誘導される仕組みを説明し、弊社が日々膨大な攻撃トラフィックを受け止めている状況をご理解いただきます。次に弊社が観測した攻撃トラフィックの手口、発信源などの最新統計を公開します。続いて弊社が観測したいくつかのセキュリティイベント(Hactivistによるもの、2012年から2013年にかけて米国金融機関を狙ったOperation Ababil、あるいはより最近の出来事で適切なもの)を題材として、利用された手口、規模及びそれに対する防御方法について説明します。最後にまとめとして、Webインフラの管理者が気をつけるべきポイントをまとめます。   

Our company, Akamai Technologies, through the process of stopping the targeted attacks to various well-known web sites, has accumulated data related to attack methods, the source of attacks and scale of attacks but also independent expertise in terms of defense.  By sharing a part of this information, we hope that you can make use of it in the development of your own protective environment when defending against such attacks.
To begin with I will explain the structure of the Akamai platform used by our company to protect various well-known web sites from vast amounts of targeted attacks on a daily basis.  After that I will present the latest statistical data regarding the methods and sources of these attacks based on our
observations. Subsequently I will explain the various methods and scales of past responses we made by focusing on a few security events such as incidents involving Hactivist, Operation Ababil which targeted American financial institutions from 2012 to 2013 and any other recent events if there are any.  In conclusion I will provide a summary of important points that web infrastructure administrators should be aware of.

Speakers
MN

Makoto Niimura

Akamai Technologies GK
アカマイ・テクノロジーズ合同会社CTO


Wednesday March 19, 2014 4:00pm - 4:50pm PDT
TERRACE ROOM

5:00pm PDT

ひどいWebアプリケーションから学ぶ - The Broken Web Application Project / Bad Web Apps are Good - The Broken Web Application Project
トレーニングなどに活用できる脆弱なWebアプリケーションコレクション「OWASP Broken Web Application Project」について紹介します。

The presentation will review the OWASP Broken Web Application Project,  a collection of vulnerable web applications that is distributed on a Virtual Machine

Speakers
avatar for Mordecai Kraushar

Mordecai Kraushar

CipherTechs
Mordecai Kraushar is Director of Audit for CipherTechs, a security solutions company based in New York City. He leads an OWASP project called Vicnum, (it is part of the OWASPBWA project) and which demonstrates vulnerabilities such as cross-site scripting, SQL injections and session... Read More →


Wednesday March 19, 2014 5:00pm - 5:50pm PDT
HP Enterprise Security Hall(HALL EAST)

5:00pm PDT

日本におけるWebアプリケーション脆弱性の実態調査 / The investigation of Web Application Vulnerabilities in Japan
Webアプリケーションのセキュリティ対策の現状を把握するため、アクセス頻度 の高いJPドメイン16000件を対象とした大規模な調査を実施した。各種パラメー タにおけるエスケープ処理を始めとした脆弱性対策の有無を確認し、傾向を示す。
本研究ではWebサイトにおけるセキュリティ対策の現状を示すため、JPドメイン の16000件のトップページとそのリンク先を含む871339ページを対象としてセ キュリティ対策の実態調査を実施した。対象ページに対し、レスポンスボディ内における送信した記号類の出力状態、 metaタグによる既知の脆弱性の有無を確認した。結果及び実施内容はMongoDBに 保存し、検索・分析を行った。調査の結果、エスケープ漏れについてはアクセス 頻度が最も高いブロック以外でほぼ一定の割合となり、平均でフォームの6.52% にエスケープ漏れが発生することが明らかになった。またHTTPヘッダやドメイン 属性によって分類したところ、PHPを用いて構築されたWebサイトやco.jpドメイ ンで公開されているWebサイトにおいて平均より高くエスケープ漏れが存在する ことが明らかになった。

In order to understand the current conditions of web application security policies, 16,000 Japanese domains with high access rates were analyzed on a large scale by confirming the presence of policies for particular vulnerabilities using various parameters to ascertain the general trend.
In this research project, the security policies of 16,000 Japanese domains and a total 871,339 pages were examined.  Pages were examined by looking at the character output transmitted in the response body as well as the presence of known vulnerabilities resulting from meta tags. After storing the results from the examinations in MongoDB, a search and analysis was conducted.  The results of this examination indicated that in terms of escape leaks, other than the blocks with the highest access frequencies, there were uniform ratios.  On average, 6.52% of forms clearly experienced escape leaks.
Additionally, after categorizing results based on HTTP headers and domain attributes, web sites constructed using PHP and co.jp domain sites has higher than average instances of escape leaks.

Speakers
avatar for 高橋 恒樹 / Koki Takahashi

高橋 恒樹 / Koki Takahashi

Faculty of Environment and Information Studies, Keio University
http://blog.xss.jp/profile.php


Wednesday March 19, 2014 5:00pm - 5:50pm PDT
TERRACE ROOM

5:00pm PDT

次の大きな攻撃の波に準備しろ!:CMSシステムへのハッキング / Get Ready for the Next Big Wave of Attacks: Hacking of Leading CMS Systems
この発表の中身を決めるのは、、、貴方だ!
講演前にカンファレンス参加者はセキュリティのテストをしたい自分の好きなWordPressプラグインをemailで教えてほしい。講演中のデモでリクエストのあったプラグインに対してセキュリティ診断を行う。
以前、同じような試みをしたところWordPressのプラグインでダウンロードされるトップ50のうち30%は一般的なWeb攻撃の脆弱性を持つことが示された。今回はどうなるだろうか。

この試みを続けているのは、プラグインのセキュリティ診断を行うことは多くの攻撃に対するハッカーとしての第一歩となるからだ。対照的に、SQLMapなどのツールを用いて過去の多くのSQLインジェクション攻撃への対応では、サイトのプラットフォームやカスタマイズされた開発コードに焦点を当てていない。むしろ、WordPressやJoomlaのような人気を博しているCMSへの攻撃は有効だ。
成熟し市場に浸透しているCMSはマーケティングやセールスや人事などに属する個人が容易に自分用のサイトを構築することができる。このため脆弱性をアプリケーションに持っていたとしても、CMSは広く使われている。

The flow of this talk is given by – you! Before this talk, we emailed the audience to provide us with their favorite WordPress plugins that they would like to test for security. In a live demo, we assess the security of the requested plugins. Previous similar trials that we performed on WordPress showed that 30% of the top 50 most downloaded plugins were vulnerable to common Web attacks. What will be the results of this experiment?

As we’ll continue to show, assessing the security posture of a plugin is only the hacker’s first step in mass attacks. As opposed to past mass SQL Injection attacks which leveraged tools such as SQLMap, these next wave of attacks do not focus on the site’s platform or customized development code. Rather, these attacks leverage on the increasing popularity of CMS platforms such as WordPress and Joomla. The maturity, prevalence and market penetration of CMS platforms allow any marketing, sales or HR individual to easily set up their own fully-operational site. Accordingly, CMS apps are flourishing – and so are the vulnerabilities in these apps.

Speakers
avatar for Sanjay Agnani

Sanjay Agnani

General Manager, New Business Development Dept., Intelligent Wave Inc
アグナニ サンジェ/Sanjay Agnani,General Manager, New Business Development Department,Intelligent Wave Inc., Japan (A DNP Group Company)Sanjay Agnani is General Manager of New Business Development for IntelligentWave Inc., Japan. Sanjay has more than nineteen years of experience... Read More →
avatar for Helen Bravo

Helen Bravo

Product Management Director, Checkmarx
Helen Bravo is the Product Manager at Checkmarx. Helen has more than fifteen years of experience in software development, IT security and source-code analysis. Prior to working at Checkmarx, Helen has worked in Comverse one of the biggest Israeli Hi-tech firms as a software engineer... Read More →


Wednesday March 19, 2014 5:00pm - 5:50pm PDT
Secure Your Site Hall(HALL WEST)

7:00pm PDT

Networking Party a.k.a Special OWASP Night (extra event)
Limited Capacity seats available

The party ticket charge is 5000 JPY in general attendee and invited guests.
To get this party ticket, please ask the information desk at the conference.
 
AppSec APAC Speakers, OWASP Leaders, and Commitee staff will be invited for free.

19:00 Open
19:30 Start
21:30 End of the party
22:00 Clean up
 

Wednesday March 19, 2014 7:00pm - 10:00pm PDT
_Akihabara Spacio 秋葉原UDX 4F
 
Thursday, March 20
 

9:00am PDT

Morning Coffee
Thursday March 20, 2014 9:00am - 9:30am PDT
(2F) Lounge

9:00am PDT

Morning Coffee
Thursday March 20, 2014 9:00am - 9:30am PDT
TERRACE ROOM

9:30am PDT

Webアプリケーション開発におけるHTML5のセキュリティ / HTML 5 Security for Web Application Development
JPCERT/CCでは、2013年10月に「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。本講演では、この調査報告書をもとにHTML5を使用したWebアプリケーションの構築時に活用する方法を紹介する。
HTML5の利用により、Webサイト閲覧者(以下、ユーザ)のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など利便性の高いWebサイトの構築が可能となる一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されている。
JPCERT/CCでは、2013年10月に「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。本報告書での調査では、HTML5への移行がWebアプリケーションのセキュリティに及ぼす影響について、現時点における知見を可能な限り体系的に整理し、Webセキュリティ研究者およびWebアプリケーション開発者のための基礎資料を提供することを目指した。
本講演では、この調査報告書をもとに、HTML5を使用したWebアプリケーションのセキュリティに関する現状や、以下の機能や要素に関して開発時に注意する事項について、デモを交えながら解説する。
・XMLHttpRequest
・HTML新要素・属性
・ブラウザのセキュリティ機能
など

I will explain security issues related to the construction of web applications using HTML5 based on information presented in the official report on this topic published by JPCERT/CC in October 2013.
The official report published by JPCERT/CC in October 2013 on security issues related to the use of HTML5 in web application development aimed to present fundamental information on the latest expertise in this area as systematically as possible for web security researchers as well as application developers.
This presentation will include demonstrations and explanations related to the current situation of security issues with web application developed in HTML5 as well as important points that need to be taken into consideration when developing the following functions and components.
・XMLHttpRequest
・HTML new features and attributes
・Browser security functions
etc.

Speakers
avatar for 松本 悦宜 / Yoshinori Matsumoto

松本 悦宜 / Yoshinori Matsumoto

JPCERT/CC
JPCERT/CC 早期警戒グループ情報分析ラインにおいて情報セキュリティアナリストとして従事。主に情報収集や早期警戒情報の提供などを行っている。


Thursday March 20, 2014 9:30am - 10:20am PDT
HP Enterprise Security Hall(HALL EAST)

9:30am PDT

Xcodeへのセキュリティ機能の拡張 / eXtend Security on Xcode
迅速な開発プロセスにおいてセキュアなiOSアプリを開発するデベロッパーを支援するために、XcodeのIDE上にセキュリティ機能を実装することを提案する。
モバイル業界は急成長している。Appleによると、2013年6月の時点でAppStoreにあるiOSアプリは90万を超えた。この急激な競争市場において、モバイル・アプリ開発者は短納期でありながら、価値があり、質が高く、ハイパフォーマンスなアプリの開発が求められている。企業の成功要因の一つとして、このような急ピッチなアジャイル開発ライフサイクルにおいてセキュリティ機能を開発初期に実装することは重要と考えられる。
Xcode自体に自動化されたセキュリティ対策機能は必要不可欠であり、機能追加することによって、iOS開発者は安全なアジャイル開発サイクルを促進できると考えている。そこで、Xcode上にセキュリティ機能を実装しました。
コーディング中には、開発者はiOSの一般的なセキュリティ問題に自然に気が付き、問題を避けたアプリ開発を可能にする。セキュリティテスターにとっては、短期間で行われるホワイトボックスのセキュリティテストを手助けしてくれる。
これまで直面した問題と問題に対してどのようにして乗り越えかを本発表で共有する。

In order to assist developers to develop a secure iOS app in a rapid development process, we propose our own security features implemented on top of Xcode IDE.    "The mobile industry is now booming. According to Apple, the number of iOS apps in App Store reached to 900,000 as of June 2013.  In this highly competitive market, mobile app developers are required to develop a high-value, high-quality and high-performance app and with a short time-to-market. Implementing security into earlier phases of such rapid pace agile development life cycle can be considered as one of the key success factors for organizations.
We believe that by adding an automated security measure into Xcode IDE itself is essential and can help facilitate secure agile development cycles for iOS developers. Therefore, we are implementing our own security features on top of Xcode. During coding phase, the developers will be able to automatically spot general security issues of iOS apps and thus prevent them from creating those issues. This can also help security testers to conduct white-box security testing in a shorter amount of time. We will also share difficulties and problems we faced and how we overcome them during our research.

Speakers
avatar for Tokuji Akamine

Tokuji Akamine

Lead Security Engineer, Rakuten, Inc.
Tokuji Akamine is a Lead Security Engineer at Rakuten, where he conducts security testing, security training and security research. Before joining Rakuten, he was a senior security consultant at Symantec and provided application security consulting to a variety of enterprise customers... Read More →
avatar for Raymund Pedraita

Raymund Pedraita

Senior Security Engineer, Rakuten, Inc.
Raymund does security audit for web, network and mobile apps. Started his involvement with security when he joined Fourteenforty Research Institute in 2008, doing research and developing security solutions and tools. For almost 9 years he was developing applications for Windows and... Read More →


Thursday March 20, 2014 9:30am - 10:20am PDT
Secure Your Site Hall(HALL WEST)

9:30am PDT

セキュリティライフサイクル管理 / Management for Security Life Cycle
サイボウズでは発見された脆弱性情報を適切に取り扱って改修し、お客様のリスクを軽減することを目的として SCAP を参考に、脆弱性情報ハンドリングポリシーを策定しました。
汎用的な脆弱性対応プロセスを1組織で導入した効果と、運用上の工夫や、今後の課題を紹介いたします。"    "サイボウズでは脆弱性の深刻度を、2011 年まで自社基準で測定していました。
2012 年末に社内で汎用的でオープンな脆弱性のリスク評価結果に基づいて、脆弱性を取り扱うべきではないかと議論になり、調査を進めました。

調査結果を元に 2013 年からは SCAP を参考に、CVSS に基づいた脆弱性情報の評価と、CVE 番号の関連付けを行い、ISO29147 と ISO30111 に沿った脆弱性情報ハンドリングポリシーを策定いたしました。
新しいポリシーを策定したことで、以下のような効果が上がりました。
- 均一な脆弱性評価と改修時の優先度設定
- プロジェクトを横断した脆弱性情報の共有
- 円滑な脆弱性情報の公開
課題となっている点は以下の通りです。
- CVSS で評価できない攻撃技法の存在と対応方針
- CVE 採番機関(JPCERT/CC)との連携
今後もこれらの課題の改善に取り組み、責任ある情報開示に取り組んでまいります。

Cybozu, in order to minimize risk to clients, handles and repairs vulnerabilities in accordance with a vulnerability information handling policy which takes SCAP into consideration.  This session will introduce the effectiveness of implementing a general vulnerability response process in a single organization, creative schemes implemented in operations and issues faced moving forward.

Until 2011 Cybozu measured the seriousness of vulnerabilities based on independent company standards and criteria.  At the end of 2012, after internal discussions, investigations were conducted as to the necessity of handling vulnerabilities based on general and open evaluations of vulnerability risks.

Starting in 2013, based on the results of the aforementioned investigation, vulnerability handling policies in line with ISO29147 and ISO30111 were implemented referencing SCAP, evaluating vulnerabilities based on CVSS and assigning CVE identifiers.
The following results were seen after implementing the new policies.
・Uniform vulnerability evaluation and priority during fixes
・Sharing of vulnerability information transcending projects
・Smooth disclosure of vulnerability information
At the same time, the following issues were encountered.
・Existence of attack techniques not able to be evaluated with CVSS and response policy
・Coordination with CVE indexing organizations (JPCERT/CC)
Moving forward, we intend to focus on dealing with these issues as well as emphasizing responsible information disclosure.

Speakers
avatar for 伊藤 彰嗣 / Akitsugu Ito

伊藤 彰嗣 / Akitsugu Ito

Cybozu, Inc.
Cy-SIRT Co-Ordinator - https://www.cybozu.com/jp/features/management/cysirt.html... Read More →


Thursday March 20, 2014 9:30am - 10:20am PDT
TERRACE ROOM

10:30am PDT

XSS オールスター・フローム・ジャパン / XSS Allstars from Japan
ブラウザを知り尽くした日本を代表するXSS業界の3人がそれぞれXSSの最先端事情やブラウザの知られていないような挙動に起因する脆弱性、珍しいXSS事例の原因や対策などについて、他では聞けない熱い話を展開します。
JavaScriptおよびHTML5による表現力や処理速度の向上、ブラウザ自体の高機能化に伴うWebアプリケーションの複雑化は、同時に複雑な脆弱性の原因ともなっています。
Webアプリケーションの典型的で影響の大きい脆弱性やその対策方法についてはすでに広く議論され情報も出回っていますが、ブラウザ固有のマイナーな挙動や新しい機能を用いた攻撃手法についてはほとんど議論されていないにも関わらず、Webアプリケーションの大規模化によってそういった類の脆弱性を含む可能性が高まっているとも言えます。
例えば、文字コードに起因するWebアプリケーションの脆弱性はここ数年で表面的にはほぼ収束したようにも見えますが、少し掘り下げてみるとまだまだ見どころのある興味深い脆弱性が多数見つかります。本発表では、典型的な問題に関してはバッサリと切り捨て、ブラウザを知り尽くした日本を代表するXSS業界の3人が、マイナーで知る人ぞ知るという脆弱性にフォーカスした話をします。

Three of the most well-known individuals in the XSS field in Japan with thorough knowledge on browsers will discuss the forefront of the conditions of XSS, vulnerabilities resulting from relatively unknown behaviors
in browsers as well as rare and unique XSS issues and solutions that you can't hear anywhere else.
The complication of web applications that goes along with the improvements in the expressiveness and processing speed of JavaScript and HTML5 leading to high-performance in browsers is also responsible for the complication of vulnerabilities.
Although typical and widely seen web application vulnerabilities and their solutions have been extensively discussed, attack methods utilizing from the peculiar minor behavior and new features of browsers have for the most part not been openly discussed. Nevertheless, with the large-scale web applications seen today the chance for these types of vulnerabilities to be present grows increasingly high.  For instance, although vulnerabilities resulting from character codes have been focused on in recent years, there are many other very interesting noteworthy vulnerabilities that we have yet to delve into.
This presentation will completely avoid typical issues and focus on minor vulnerabilities that only those in the know are aware of with discussions by 3 leading specialists at the forefront of the XSS field in Japan with extensive knowledge of browsers.

Speakers
avatar for Yosuke HASEGAWA

Yosuke HASEGAWA

NetAgent Co.,Ltd.
An engineer at NetAgent Co. Ltd. and technical advisor at Secure Sky Technology Inc. Known internationally as XSS Ninja, Yosuke is the author of jjencode and aaencode. He has investigated various security issues such as those related to character encoding like Unicode causes and... Read More →
avatar for Masato Kinugawa

Masato Kinugawa

バグハンター。著名なWebアプリケーション・主要なブラウザの脆弱性を多数発見。Googleなどの脆弱性報酬制度を実施する企業から受けた支払いは10万ドルを超える。
M

mala

LINE株式会社所属。WebアプリケーションやJavaScript... Read More →


Thursday March 20, 2014 10:30am - 11:20am PDT
HP Enterprise Security Hall(HALL EAST)

10:30am PDT

ソースコードスキャナーを選ぶ(書く)方法 / How to choose (or write) your own source code scanner
ソースコード診断ツールは高価なものになりがちで、かつフォールスポジティブ(誤検知)とフォールスネガティブ(見逃し)が起こりがちです。こうした問題を解決するため、XPath を使ってソースコード診断ツールを作る方法を紹介します。   

セキュリティ業界でアツいトピックのひとつに、ソースコードスキャナーがあります。しかしながら、いくつかの商用のソリューションを評価してみても、明らかに完璧だと思えるものはありません。サンプルコードのつまみ食いも見つけられませんし、良く知られているオープンソースプロジェクトのCVE脆弱性は基準になりませんし、あるコード実行脆弱性はサポートされていません。それなのに高額です。それでもわたしたちはなにがなんでもそれを信じなければなりませんし、結局のところ、自分自身でソースコードスキャナを書く事は、とってもめんどくさいし難しいことです。そうですよね。
実際は、そうではありません。いくつかの商用のスキャナーツールで、カスタマイズしたルールセットを提供できるような製品のように、オープンソースPMDプロジェクトでは、アブストラクトシンタックスツリーを活用することによってルールセット造りが可能です。 これは、AndroidやJavaのスキャン手段を自作することができることになります。PHPではどうでしょうか。
この状況を解決するため、わたしは試作品ですが自動スキャンツールを書いてみました。これは、Abstruct Syntax Tree構造を活用しており、nikicが作ったPHPパーザを使うことにより、PMDライクなPHP用のカスタマイズされたスキャナとなります。 最大の利点は、XPathをPMDのように使ってルールを作る事ができる点です。

Source code scanning is prone to false positive and negatives. And it is expensive. It is time to write our own source code scanner using XPath.

Source code scanners are one of the hottest topics in the security industry. However after evaluating some commercial solutions, it is clear that none of them are perfect. Sample code snippets cannot be detected, CVE vulnerabilities in famous open source projects are not benchmarked against, and one common code execution vulnerability is not supported. Yet, it is expensive. But we have to trust it anyways, after all, writing a source code scanner of your own is very complicated and difficult. Or is it?
Actually no. Just like some of the commercial scanners who provides customizable ruleset creation, the open source PMD project also allows the creation of ones ruleset by utilizing the Abstract Syntax Tree. This means we can create our own scanning methodologies for Android and Java web applications. But what about PHP?
To solve this situation, I wrote an experimental automation scanner, which utilize the Abstract Syntax Tree structure generated by the PHP-parser project written by nikic, and make it into a PMD like customizable scanner for PHP. And the best part is, you can write all the rules in XPath just like PMD.

Speakers
YC

Yu-Lu "Chris" Liu

Yu-Lu "Chris" Liu, security engineer at Rakuten, Inc. In his previous job, Mr. Liu was responsible for doing mobile security research, and penetration testing with multinational companies, major banks in Japan, as well as governmental websites. After he joined Rakuten, he is mostly... Read More →


Thursday March 20, 2014 10:30am - 11:20am PDT
TERRACE ROOM

10:30am PDT

モバイルセキュリティ ことはじめ / Getting a handle on mobile security
モバイル機器とアプリは高度に多様化している。デバイスやOSや開発プラットフォームの数だけ主要なセキュリティ問題が起こりえる。本講演ではセキュアなモバイルアプリ開発の要点を扱う。

モバイル開発はソフトウェア産業全体において最も成長率の高い分野の一つといえる。過去10年を見てみると、モバイル機器やオペレティングシステムや開発環境やライブラリやツールキットやアップストアは爆発的な伸びを示した。企業はモバイルのパラダイムの原動力を利用してモバイルアプリケーションの作成に躍起になっている。しかし、Web開発の黎明期がそうであったように、セキュリティは見過ごされたり強調不足であったりする。
本講演では、開発者が利用できる多くのモバイルプラットフォームと多くのプラットフォームが共通に抱えるセキュリティについて説明します。
携帯電話内の機密データの取り扱いや暗号化を用いた方法、TLSを用いた方法、セキュアなモバイルアプリケーションを構築するために必要となる重要なセキュリティ領域を取り上げます。ハイブリッドなWebアプリケーションやPhoneGapのようなフレームワークを用いた方法などでのセキュリティ観点の詳細を論じます。受講者は、Webとモバイルセキュリティの主な違いを理解し、セキュアなモバイルアプリケーションの構築とアーキテクチャに何が必要かを理解する。

Mobile devices and apps are highly diverse. The number of devices, operating systems, and development platforms can translate into major security problems. This talk covers essentials for developing mobile apps securely.
Mobile development is one of the largest growth areas in all of software.  The last decade has seen an explosion of mobile devices, operating systems, development environments, libraries, toolkits and app stores.  Organizations are racing to construct mobile applications that harness the power of the mobile paradigm. 
However, like in the early days of web development, security may be being overlooked or under-emphasized.  In this talk, we will go through the array of mobile platforms available to developers, and discuss common security concerns that all platforms have in common.  The talk will focuses on securing sensitive data on the phone, proper use of encryption, and proper use of TLS, along with several other security areas critical to writing secure mobile applications.  A discussion of hybrid web apps, using frameworks like PhoneGap and the security concerns there, will also be discussed in detail. 
Participants will gain an understanding of the key differences between web and mobile security, and learn what they must do to ensure they are architecting and constructing secure mobile applications.

Speakers
avatar for Jerry Hoff

Jerry Hoff

VP, Static Code Analysis Division, WhiteHat Security
Jerry Hoff is the VP of the Static Code Analysis Division at WhiteHat Security. In addition to WhiteHat, he is a co-founder and managing partner at Infrared Security. Jerry has worked at a number of fortune ten financial firms, along with years of hands-on security consulting, where... Read More →


Thursday March 20, 2014 10:30am - 11:20am PDT
Secure Your Site Hall(HALL WEST)

11:20am PDT

Coffee Break
Thursday March 20, 2014 11:20am - 11:40am PDT
TERRACE ROOM

11:20am PDT

Coffee Break
Thursday March 20, 2014 11:20am - 11:40am PDT
(2F) Lounge

11:40am PDT

Android にプリインストールされたアプリの改ざん / Preinstalled Android application poisoning
第三者が作成したビルト済みのAndroidアプリに対して、調査やチート等に活用できる新しい改ざん手法の紹介と、その手法を実際に活用したアプリ解析/攻撃方法を紹介します。
現在、ハッカーが調査等の目的において、ビルトされたAndroidアプリケーションのコードを改ざんする際の手法としてapk-tool等を使用した手法は広く知られています。
しかしその手法には、アプリをPCに取得->展開->改ざん->再パッケージ化->再署名->インストールといったように多くのステップが必要となり、さらに、再署名によりアプリの署名が変更されてしまうことで機能の一部が正常に動作しなくなる問題や、プリインストールアプリは改ざんしたアプリを上書きインストールできないため、実質改ざんが非常に難しいという問題があります。
そこで今回は新しい手法として、私が発見し、調査の際に使用しているAndroid上のキャッシュされた実行バイナリ(odexファイル)を直接改ざんする方法を紹介します。
odexファイルの構造はGoogleのサイトを始めとして複数のサイトで解説されていますが、odexファイルを直接編集する手法はあまり見かけないため、一歩変わったアプローチだと考えています。
また、このキャッシュファイルを改ざんするには端末のroot化が必須となりますが、Androidの調査研究を行うためにはroot化は必然となるため、全く問題のないことだと考えられます。
この改ざん手法により、改ざんの際のアプリの展開や再署名のステップを減らすとともに、署名の変更による影響をなくし、さらにプリインストールアプリを改ざん可能にします。
また、これらの改ざん手法はAndroid SDKで提供されるdexdumpとバイナリエディタを使用するだけで誰でも簡単に実行できます。
※改ざん手法の一部は下記の発表実績に記載しているOWASP Japan 1st Local Chapter Meetingで紹介しています。
この手法には以下の2つの特徴があります。
・アプリの改ざんを効率化でき、さらにキャッシュファイルを削除することで簡単にアプリを改ざん前の状態に戻せる
・悪用することでプリインストールアプリのbot化やMITM攻撃に使用できる
この手法の有用性をご理解いただくために、プリインストールアプリ(auのEメールアプリを予定)を改ざんし、ログを出力させて解析を効率よく行うデモと、
ウイルスアプリからプリインストールアプリ(facebookアプリを予定)のアクセス先URLをポイズニングしてMITM攻撃をしかけるデモをお見せします。

The recent method of hackers using apk-tool etc. to alter preinstalled Android applications for the purpose of research has up until now required numerous steps including downloading, deploying, altering, re-packaging, re-signing and installing the app which leads to some features failing to function properly and problems such as not being able to overwrite the altered application.  It is here that I would like to share a new approach that I discovered which directly alters the binary (odex file) on the Android cache.

Although odex file construction is explained on numerous sites including sites from Google, this novel approach not widely known directly alters odex files.  Not only does eliminating the need to deploy and re-sign the app eliminate the risk of the function failing to function properly while at the same time making alterations possible, since this can accomplished using a binary editor and dexdump found on Android SDK, this method can be used easily by anyone.  The explanations plans to feature demonstrations of altering a preinstalled app and analyzing the log results as well as demonstrating an MITM attack using a Facebook app with a poisoned URL link.

Speakers
avatar for 加藤 義登 / Yoshitaka Kato

加藤 義登 / Yoshitaka Kato

Senior Security Consultant, Hewlett-Packard Japan, Ltd.


Thursday March 20, 2014 11:40am - 12:30pm PDT
Secure Your Site Hall(HALL WEST)

11:40am PDT

HTML5時代の安全なエスケープ手法 / Secure Escaping method for the age of HTML 5
HTML5 Syntaxの登場と普及によって現実的解決策となったコンテキスト依存の自動エスケープ手法について紹介する。

XSSは、OWASP Top 10で常に指摘されている脅威である。従来に比べDOM based XSSなど新たな脅威も検出されている。
HTMLとJavaScriptとCSSが混在する現代のWebアプリではすべての出力箇所においてコンテキストに応じた適切なエスケープ処理を開発者が間違いなく行なう必要がある。
たとえば、HTMLテンプレート内で以下のx1~x7を出力するときは、それぞれ異なるエスケープを行なう必要があるが、人間は間違いを犯すもので、ケアレスミスも起きやすい。

<a href=""{{x1}}"" onmouseover=""{{x2}}"">{{x3}}</a>
<script>
 var x = '{{x4}}';
 var y =  {{x5}};
</script>
<style>
 body { background:url(/path?q={{x6}}); }
 div  { font-family: ""{{x7}}""; }
</style>

本発表では、先進的なWebアプリケーションフレームワークで近年採用が進んでいる「Contextual auto-escape」について詳細を解説する。本手法が実用段階になった背景にはHTML5 SyntaxとECMA-262の仕様策定により、各ブラウザのHTMLパーサの挙動やJavaScriptの文法の違いがなくなり、サーバサイドでHTMLのコンテキストを安定的に解析できることになったことが大きい。Googleの開発するClosureTemplatesやAngularJSなどではこれらの手法が実際に応用されており、エスケープのミスが起きにくいシステムの構築方法とその限界点についても考察する。

I will explain the automatic escape method that became a realistic solution to context dependence with the introduction and promulgation of HTML5 Syntax.

XSS is a threat consistently listed in the OWASP Top 10.  Compared to the past, DOM based XSS and other new threats have been detected.  With current web applications and the mixture of HTML, JavaScript and CSS, it is necessary for developers to deal with context-appropriate escape processing for all outputs. 
For instance, if you output x1 to x7 using the following HTML template, although it is necessary to conduct various different escapes, human error can easily lead to careless mistakes.

<a href=""{{x1}}"" onmouseover=""{{x2}}"">{{x3}}</a>
<script>
 var x = '{{x4}}';
 var y =  {{x5}};
</script>
<style>
 body { background:url(/path?q={{x6}}); }
 div  { font-family: ""{{x7}}""; }
</style>

This presentation will explain the details of “contextual auto-escape”, an advanced application framework that in recent years is being implemented more and more.  The background that lead to this method actually being used is the settling of specifications for HTML5 Syntax and ECMA-262 which lead to the elimination of JavaScript synstax differences and HTML Parser behavior as well as the stable parsing of HTML context on the server side.  This method is applied in the Closure templates and Angular JS developed by Google and is being studied as the threshold for methods of developing systems where escape errors become less likely."

Speakers
avatar for Yoshinori Takesako

Yoshinori Takesako

chair, SECCON
Yoshinori Takesako is the executive committee chairperson, organizer, and challenge creator of the SECCON CTF contests in Japan. He is also on the OWASP Japan advisory board, the review board for the CODE BLUE conference and the leader of the Shibuya Perl Mongers group. He was received... Read More →


Thursday March 20, 2014 11:40am - 12:30pm PDT
HP Enterprise Security Hall(HALL EAST)

11:40am PDT

Open Mic Session
Moderators
avatar for Riotaro OKADA

Riotaro OKADA

lead, OWASP Japan
Born in Kobe, Japan, Mr. Okada, the executive researcher of Asterisk Research, has 20+ years of experience in software development and security. He is an experienced CISO advisor, PSIRT practitioner, and author who can implement information security programs. His field of work contributes... Read More →
avatar for Sen UENO

Sen UENO

CEO, Tricorder Co. Ltd.
OWASP Japan Leader.CEO Tricorder Inc. Japanese computer engineer and technical expert. Majored in Information Security at the Nara Institute of Science and Technology (NAIST). After successfully listing an eCommerce venture on the TSE Mothers exchange, Mr. Ueno founder Tricorder and... Read More →

Speakers

Thursday March 20, 2014 11:40am - 12:45pm PDT
TERRACE ROOM

12:30pm PDT

Lunch Time / By Your Self (B1F)
ランチは提供されません。付近のレストランなどをご利用下さい。
Lunch is not provided in the conference. Please use such as nearby restaurants.

Thursday March 20, 2014 12:30pm - 1:40pm PDT
(2F) Lounge

1:40pm PDT

1 user, 10 places, 100 seconds
ユーザが世界のあらゆる10箇所から100秒以内に認証をすることを想像してみてください。ランタイムエージェントがどのように認証や他からの攻撃をブロックするための必要な情報を取り出すかを示します。

セキュリティ情報イベント管理(SIEM)ソリューションは、ネットワーク層での可視化に優れているが、ネットワーク上で動作しているアプリケーションに対しては最高に機能しても平凡な可視性にとどまっている。従来、アプリケーションがセキュリティログに関心を払うことなく設計・開発されていたのは、セキュリティログがセキュリティアナリストにとってブラックボックスであったという理由による。
本講演では、既存のアプリケーションから詳細なセキュリティログを収集するアプローチとしてランタイム・エージェント型のアプローチを説明し、セキュリティイベントにユーザプロファイルを作成して適用しリスクを削減した事例を紹介する。アプリケーション層のセキュリティイベントを可視化するのはソフトウェアが脅威に晒されていることを理解するのに多いに役立つが、ユーザの活動にひもづけるとより興味深いものになる。
よりセキュリティに関連するログを生成して、ランタイム・エージェントが実行可能な解決方法を提示するようにアプリケーションの改良が必要だがそのときの課題を論じる。既存のコードに含まれているビジネス要件の合うイベントを取得するような標準的な認証フレームワークを用いたアプリケーションにおいて、ログインする時からログインイベントを自動的に取得するエージェントベースのアプローチの許容について詳細に述べる。
結論として、アプリケーション層のイベントと実社会の監視シナリオを他のセキュリティを結び合わせる技術の相互の関係性について論じる。

Imagine: a user authenticates from ten places around the world-all in 100 seconds. We show how runtime agents can extract the information needed to block this and other attacks.

SIEM solutions have excellent visibility at the network layer, but have at best mediocre visibility into applications running on the network. Until now, if these applications were not designed and developed with security logging in mind, they were a black box to security analysts. In this talk we detail a runtime-agent based approach for gathering detailed security logs from existing applications and discuss use cases for correlating this information with other sources of security events to profile users and reduce risk. Visibility into application-layer security events is broadly important for understanding the threats faced by software, but becomes even more interesting when events can be tied to active users.
We discuss challenges involved in retrofitting applications to produce more security-relevant logs and show how runtime agents present a viable solution. We detail the capabilities of an agent-based approach ranging from automatically capturing login events in applications that use standard authentication frameworks to capturing business-specific events in proprietary code. We conclude with a lengthy discussion of correlation techniques for combining application-layer events with other security insights to address a number of real-world monitoring scenarios.

Speakers
avatar for Matias Madou

Matias Madou

Research Lead, HP
Matias Madou is Research Lead for HP Security Research (HPSR). He leads the product research for the Agent based solutions (called HP Fortify Runtime products). In his role, he creates proof-of-concepts to fill specific holes in the marketplace after which he helps to generalize and... Read More →


Thursday March 20, 2014 1:40pm - 2:30pm PDT
Secure Your Site Hall(HALL WEST)

2:40pm PDT

Keynote: Application Security at DevOps Speed and Portfolio Scale
ソフトウェア開発は新しいプラットフォーム、プログラミング言語、フレームワーク、パラダイム、アジャイルやDevOpsような方法論によって、アプリケーションセキュリティよりもはるかに高速で進んでいる。残念ながら、ソフトウエアの品質保証は時代に追いついていない。
我々のセキュリティ技術の多くは2002年に構築されたソフトウエア開発の方法論を用いて作られている。いくつかの技術や実践方法では、JavaScriptやAjaxや制御の反転パターン(Inversion of Control)やアスペクト指向プログラミングや最新のフレームワーク、ライブラリやSOAPやRESTやWebサービスやXMLやJSONやソケットプログラミングやHTML5やアジャイルやDevOpsやWebSocketやクラウドなどについて現状で最善といえる品質保証を行うことができない。残りの多くの技術は、今現在のソフトウエア開発において核にあたっている。
我々はアプリケーションセキュリティの推進を行なっているが、驚くべきスピードで進化しているソフトウエア開発と比べると進みは遅い。
この遅れのまま10年たった時には、ソフトウェアの品質保証と先端のソフトウエア開発では互換性が無いに等しくなる。
セキュリティツールやアプリケーションのセキュリティ基準はもはや役に立たないだろう。そしてその結果、セキュリティがソフトウエア開発に与える影響はとても小さいものになってしまう。アプリケーションセキュリティに関するコミュニティがソフトウエア開発の要になる方法を理解しない限り,これからも遅れ続けて、ソフトウェアに対して最小限の変更にとどまる影響しか与えないだろう。本講演では、これまでのアプローチとは根本的に異なり、脆弱性の識別やセキュリティアーキテクチャの強化や(これが最重要であるが)アプリケーションセキュリティの価値を生み出すといったことに利用できるリアルタイムのデータ収集を行う装置を用いてIT企業内で計測することについて発表する。最終的な目標としては、アプリケーションセキュリティへの前例のないリアルタイムの可視性によって組織内のアプリケーション全体のポートフォリオが明らかになり、セキュリティに関する全ての利害関係者が協力しあい、事前に対策を講じれるようになることだ。

Software development is moving much faster than application security with new platforms, languages, frameworks, paradigms, and methodologies like Agile and Devops. Unfortunately, software assurance hasn’t kept up with the times.
Forthe most part, our security techniques were built to work with the way software was built in 2002. Here are some of the technologies and practices that today’s best software assurance techniques *can’t* handle: JavaScript, Ajax, inversion of control, aspect-oriented programming, frameworks, libraries, SOAP, REST, web services, XML, JSON, raw sockets, HTML5, Agile, DevOps, WebSocket, Cloud, and more.
All of these rest pretty much at the core of modern software development.
Although we’re making progress in application security, the gains are much slower than the stunning advances in software development.
After 10 years of getting further behind every day, Software *assurance* is now largely incompatible with modern software *development*. It’s not just security tools - application security processes are largely
incompatible as well. And the result is that security has very little
influence on the software trajectory at all. 
Unless the application security community figures out how to be a relevant part of software development, We will continue to lag behind and effect minimal change.
In this talk, I will explore a radically different approach based on instrumenting an entire IT organization
with passive sensors to collect real time data that can be used to identify vulnerabilities, Enhance security architecture, and (most importantly) enable application security to generate value.
The goal is unprecedented real-time visibility into application security across an organization's entire application portfolio, allowing all the stakeholders in security to collaborate and finally become proactive.

Speakers
avatar for Dave Wichers

Dave Wichers

COO, Aspect Security
Dave Wichers is a cofounder and the Chief Operating Officer (COO) of Aspect Security, a consulting company that specializes in application security services. He is also a long time contributor to OWASP, helping to establish the OWASP Foundation in 2004, serving on the OWASP Board... Read More →


Thursday March 20, 2014 2:40pm - 3:30pm PDT
Secure Your Site Hall(HALL WEST)

3:30pm PDT

Coffee Break
Thursday March 20, 2014 3:30pm - 4:00pm PDT
(2F) Lounge

3:30pm PDT

Coffee Break
Thursday March 20, 2014 3:30pm - 4:00pm PDT
TERRACE ROOM

4:00pm PDT

Keynote: The online war - tackling security in an interconnected and complex world of software
世界中で、サイバー犯罪の被害額は膨大であり、ドラッグの流通量にも比べられるほどです。これらの脅威をよそに、ウェブは、各個人を結び合わせ、またあらゆる情報をリンクし、ついにはセンシティブな個人情報にもつながるようになっています。組織は、どのようにこの脅威を認識し、イノベーションへの挑戦、すなわちスピードやコストと困難に見えるセキュリティアプローチのバランスをとることができるのでしょうか。


The global cost of cybercrime is estimated at over US $100 billion per
year, a financial impact that is comparable to major drug trafficking
throughout the world.  Accordingly the underground marketplace for
vulnerabilities and compromised data is developed with powerful
players backed by organized crime. These criminals seek accesses to
financial systems, user data and anything that can be easily sold and
converted to cash.

Despite these threats, the web continues to grow based on connecting
individuals, knowledge, and by providing valuable services that
operate on sensitive user information.

How do we reconcile an increasing threat that preys on the very
information that is required for the growth of the web? How does an
organization balance the challenges of innovation, speed, and cost
versus the seemingly doomed approaches to security?

We must first understand the reality of our adversaries and the status
quo of security defense. Then we can ask the hard questions and
fundamentally change how we approach securing applications and data.

Speakers
avatar for Michael Coates

Michael Coates

Global Board, OWASP
OWASP Global Board MemberTrust & Information Security Officer @TwitterFind me @_mwc


Thursday March 20, 2014 4:00pm - 4:50pm PDT
Secure Your Site Hall(HALL WEST)

4:50pm PDT

Closing Session
Moderators
avatar for Riotaro OKADA

Riotaro OKADA

lead, OWASP Japan
Born in Kobe, Japan, Mr. Okada, the executive researcher of Asterisk Research, has 20+ years of experience in software development and security. He is an experienced CISO advisor, PSIRT practitioner, and author who can implement information security programs. His field of work contributes... Read More →
avatar for Sen UENO

Sen UENO

CEO, Tricorder Co. Ltd.
OWASP Japan Leader.CEO Tricorder Inc. Japanese computer engineer and technical expert. Majored in Information Security at the Nara Institute of Science and Technology (NAIST). After successfully listing an eCommerce venture on the TSE Mothers exchange, Mr. Ueno founder Tricorder and... Read More →

Speakers
avatar for Tobias Gondrom

Tobias Gondrom

Global Board Member, OWASP
Tobias Gondrom is a global board member of OWASP (Open Web Application Security Project) and former chairman until December 2015. And until April 2015, he was leading a boutique Global CISO and Information Security & Risk Management Advisory based in Hong Kong, United Kingdom and... Read More →


Thursday March 20, 2014 4:50pm - 5:30pm PDT
Secure Your Site Hall(HALL WEST)
 
Filter sessions
Apply filters to sessions.