開催概要

今回は、大河内健太郎 氏による、OWASP ZAPとEC-CUBEの発表になります。

• EC-CUBEにおけるOWASP ZAPの侵入テストを自動化する試みと、EC-CUBEを安全に構築するための対策

内容については以下の通りです。

ネットショップを構築するためのOSSである EC-CUBE (https://ec-cube.net) では、現在 OWASP ZAP によるペネトレーションテストを自動化する試みをしています。
- 「日本語が必須入力になっている」
- 「特殊な画面遷移パターンがある」
などといった理由から、ZAP - Full Scan(https://zaproxy.org/docs/docker/full-scan/) など既存のツールはうまく動作しないため、いろいろ試行錯誤しながら何とかしている現状をお話しします。

また、EC-CUBEを安全に運用するためのノウハウを、EC-CUBE曆15年のエバンジェリストがお話しします。

登壇者様の紹介

今回ご登壇される 大河内健太郎 様は、以下のような方です

• スキルニル株式会社 代表取締役
• 2002年に有限会社Loop AZを立ち上げ、大学事務システムのフレームワーク開発をはじめ、数多くのWebシステム開発に携わる。「EC-CUBE」との出会いは2006年9月から。
• 前職は寿司屋の板前。GNU Emacs のアイコン作者。
• コミッター名「nanasess」にて、「EC-CUBE」メインコミッターとして活躍している。

対象者

• 自身/自社で脆弱性診断をすることになった方。
• 自社システムなどを管理されている方。
• セキュリティに興味がある方。
• プロアクティブ、アグレッシブにセキュリティ対応を行いたい方。
• EC-CUBEを運用されている方

参加について

Youtube Liveでの配信となります。

• 実施当日に、参加登録者宛てにURLをお送りします。
• 質問等は Twitterで「#vulnstudy」をつけてツイートしてください。エゴサーチします。
• 後ほど、ライブ配信動画はYoutubeの脆弱性対応勉強会チャンネルで公開します。

スケジュール

2021/10/22(金曜日)

; 質疑応答は、随時。#vlunstudyをつけてtweetください。ハッシュタグで検索します。

持ち物

• Youtue Liveにアクセスできる環境

禁則事項 (Online; Expansion版)

みんなで脆弱性対応について共有していきたい、という趣旨に反することは禁止とします。

その他

一緒に勉強会をやっていただける方、発表をしたい方をお待ちしています。

• これを話したい、等があればそれを頂ければ次回開催を検討します。
• 本講義(1.0h以上)ではなく、LT(5 or 10min)をやりたい方はご連絡ください。前座、LT大会、等を検討します。
• 脆弱性や運用に関係があれば、何でもありです。脆弱性検査ツールベンダさん、どうでしょうか？
• 引き続き、脆弱性対応ツールベンダ様のお声がけをお待ちしております！

イベント画像は、私(hogehuga)が撮影したものを利用しています。

• 基本的には、ハーフサイズカメラ(Pen-F(フィルムカメラ))を利用
• 画像とイベント内容は、特に関連はありません
• 今回は無念ながら、iPhone撮影の画像を使用。後で差し替えるかも。

脆弱性対応研究会　とは

本勉強会は、Facebookグループ「脆弱性対応研究会」の勉強会です。 以下を拠点としています。

• Facebook「脆弱性対応研究会」
• Connpassグループ「脆弱性対応研究会」
• yotuubeチャネル

また、以下をポリシーとして持っています。

• ベンダフリー：勉強会全体として、特定の製品を推したり、営業はしません。(但し、製品紹介は除く)
• OSS重視：OSS製品でよいものがあれば、有償製品より率先して活用します。
• 参加者は参加だけ：参加者情報を基にしたマーケティング等の営業活動を行いません。
• 仲間を増やす：同じ問題をみんなで知恵を出し合って解決する、知見を共有する、ような場にしたい。