Upload File

intern2015 02

20
カード業界の勉強 ペネトレーションテスト CheckoutHelperのバージョンアップ セキュリティ調査 インフラ、プロビジョニングツールの整備 動作確認 インターンでやったこと

Upload: line-corporation

Post on 16-Apr-2017

9.276 views

Category:

Technology


0 download

Report

TRANSCRIPT

Page 1: Intern2015 02

➡ カード業界の勉強

➡ ペネトレーションテスト

➡ CheckoutHelperのバージョンアップ

➡ セキュリティ調査

➡ インフラ、プロビジョニングツールの整備

➡ 動作確認

インターンでやったこと

Page 2: Intern2015 02

セキュリティ調査

HTTPS+公開鍵暗号化

➡ ツールによる解析 ➡ Webアプリケーション攻撃テ

ストツールのbrakeman、

WebReaverを使用

➡いくつかの脆弱性と診断された

ものはあったがどれも誤診断で

あった

Page 3: Intern2015 02

セキュリティ調査

HTTPS+公開鍵暗号化

➡ 手動による解析 ➡ 己の勘と嗅覚で調査をした

➡ 10個ほど懸念点が見つかった

➡ 今回はそのうち1個についてイ

ンターン中に担当することと

した

Page 4: Intern2015 02

CheckoutHelperについて

➡CheckoutHelperとは?

CheckoutHelper

➡ 決済時にユーザーが購入サイトから離れずに

カード情報を入力できるようにする

JavaScriptライブラリ

➡ カード情報の入力フォームとカード情報の 

トークン化を担う

Page 5: Intern2015 02

セキュリティ調査-安全でないDOMの生成

xxshop.com

DOM in xxshop.com

jquery.js

analytics.js

4242 4242 4242 4242

PAN: 4242 4242 4242 4242 EXPIRE: 08/18 NAME: YAMADA… CVC: 123

analytics.com

Page 6: Intern2015 02

セキュリティ調査-安全でないDOMの生成

iframe js.webpay.jp

jquery.js

analytics.js

4242 4242 4242 4242

xxshop.com

Page 7: Intern2015 02

CheckoutHelperのバージョンアップ

➡ インターンではiframe対応をしたCheckoutHelperのv3をリリースする

ことを目標に

➡ クレジットカード業界におけるセキュリティ基準のPCI DSSのバージョ

ン3で推奨されているため、移行を予定していた

See: http://qiita.com/hokkai7go@github/items/3705120cf73b07570f9e

Page 8: Intern2015 02

CheckoutHelperのバージョンアップ

➡ 実はすでに対応のためのブランチがあった

➡ リリースされていなかった理由 ➡ 動作確認やセキュリティの調査、新しいサーバの準備が必要

➡ ここらへんを対応していくことに

Page 9: Intern2015 02

セキュリティ調査

Page 10: Intern2015 02

本当にあった怖いXSS

?publishableKey=“ ?publishableKey=<b>test</b>

?publishableKey=</script><script>alert(1)</script>

?publishableKey=test_public_XXXXXXXX

JSON.dump

※リリース前のコードの話です

Page 11: Intern2015 02

➡ scriptタグ内では、このサニタイズでは十分でない ➡ JSONで出力するのであれば、加えて<>/のエスケープ

➡ https://subtech.g.hatena.ne.jp/mala/20100222/1266843093

本当にあった怖いXSS

?publishableKey=</script><script>alert(1)</script>

➡そもそもサーバサイドで埋め込む必要なくない? ➡ クライアントサイドでパラメータの取得を行うように

Page 12: Intern2015 02

サーバ構築

Page 13: Intern2015 02

➡ 現状Ansibleを使ってサーバの構成を管理している

プロビジョニングツール

➡動作が遅い/もっさり ➡ 完了するまでに1時間以上かかる

➡ YAMLによる記述力不足 ➡ ignore_errors: yes, when, when, when..

➡ テンプレートエンジンがしょぼい ➡ Jinja2使いづらい

➡エージェントを先にインストールする必要がある ➡ 簡単に実行できない

➡ Chef/Puppet

Page 14: Intern2015 02

https://www.flickr.com/photos/dakiny/14652227925/

Itamae➡クックパッドの荒井氏(@ryot_a_rai)を中心に開発しているOSSのプロビジョニングツール

➡RubyのDSLなので学習コストが低く、柔軟な記述が可能

➡エージェント不要で、軽快に動作する

Page 15: Intern2015 02

動作確認

Page 16: Intern2015 02

v2(Dynamic DOM) v3(iframe)

Page 17: Intern2015 02

最終報告

Page 18: Intern2015 02

➡ iframe対応をしたCheckoutHelperのv3をリリースします

➡ 利用中のマーチャントに影響が出ないよう、移行は公式ブログ等で    

アナウンスをする(記事は書いた)

最終報告

v12014/06 v2

2015/08 v3

初版 デザイン変更 モバイル対応

iframe版

NOW

しました

Page 19: Intern2015 02

最終報告➡ まとめた記事は今後 WebPay Engineering Blog に掲載予定

Page 20: Intern2015 02

ご清聴ありがとうございました


Wechselventil Katalog EN v04 · Gland design 02/01 Bellows design 02/01 Materials 02/02 General components 02/02 Bellows design, specific 02/02 Article numbers, dimensions and weights,

Scanned by CamScanner - Uttarakhand Police · 02 11 05 02 02 05 02 02 80 02 02 02 02 04 02 02 11 11 02 01 02 05 02 02 116 . 2015 I 1 01 ûÈÑ, ÙÑa:— 1. I 5. I . Title: New Doc

60FET ’02 60FETO’02 70BETO’02

WordPress.comNov 02, 2015  · Trans Date 01/26 01/31 02/06 02/06 02/06 02/06 02/06 02/06 02/06 02/06 02/06 02/06 02/06 02/08 02/08 02/09 Post Date 01/26 01/31 02/06 02/06 02/06

pariu2-5982-95ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95 ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95ocococ-02-5982-95

Full page photo - BangkokScrewThai · 02-001 00 02-005 02-002 00 tainless Steel Brass Plasti Aluminum Copper 02-014 02-007 02-004 02-015 02-010 02-009 02-003 oo 02-017(2) 02-017(1)

The Messenger - First United Methodist Church...2019/02/02  · Eleanor Taylor 02/02 Doris Gray 02/08 Joshua McMillian 02/09 Bill Pfeifer 02/09 Barbara Goins 02/12 Janet Cheatham 02/14

Boletim 1ª Quinzena Fevereiro 2019 · Adolesc. Volume 1 Volume 2 Volume 4 10/02 10/02 10/02 10/02 17/02 17/02 17/02 17/02 24/02 24/02 24/02 24/02 Giovanny Giovanny Samira Pb. Sérgio

2013-02-02 02 Нелюбин. Почему NoSql

PDF Compressor · YCW552g-a2 YCW5228-02 YCW652g-a2 01ML Class YCW3138-02 YCW3238-02 ycwa538-02 YCW4138-02 YCVV423e-02 YCVV4538-02 YCW5138-02 YCVV523e-02 YCW5538-02 YCW5238-02 YCW6538-02

2014 02 02 目次 02 - Radiochem

APPENDIX 11 - Noise Baseline Report Technical Details...2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015 12/02/ 2015

GENERALIDADES - industriabertoldo.com.brindustriabertoldo.com.br/catalogo2.pdf · retentor sabo .. ..... quant. 02 06 02 12 12 06 06 06 02 02 02 02 02 02 q2 04 02 92 04 02 02 06 12

02 Simulacro 02

A COMPARATIVE STUDY ON VILLAGE …asmenvis.nic.in/WriteReadData/UserFiles/file/Intern2015.pdfCertifiCate This is to certify that Panchali Borthakur, Upasana Talukdar, Karabi Saikia

H35D-02 H40D-02 H45D-02 LINDE

01 * * * * GOLONGAN TANAH GOLONGAN PERALATAN … · 02 02 01 06 07 Asbuton Dryar 02 02 01 06 08 Recycle 02 02 01 06 09 Col Milling Machine 02 02 01 06 10 Lain-lain 02 02 01 07 * Compacting

Welcome to the Official Website of The Sri Lanka UN-REDD ...€¦ · 05 06 07 08 09 10 12 47 - 02 - 02 - 02 dðoûó (Cc 630 - 02 - 02 02 0 - 02 - 02 ôÛgO Û2ñ 02 0 - 02 02 0 cmdQû

 · Spring Framework 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 Agent Le ac S stem FileSend M inimalize 1201 ... 5.0% 4.5% 3.0% 1.5% 0.5% 2018-08-01 2018-08-01

02-02- 2015

 · Suture Instruments - 02-3909 02-3909 - 02-3912 REVERDIN Reverdin Needles 02-3912 02-3917 QUALITY + SERVICE 02-3918 02-3919 02-3920

TS-39 #8 Motor - CARiD.com · 2019. 1. 22. · HeLmetS ˇ$ F. B Bˆ xs 02-3403 02-3423 sm 02-3404 02-3424 md 02-3405 02-3425 lg 02-3406 02-3426 xl 02-3407 02-3427 2x 02-3408 02-3428

02 | 02 | 10

HotelSanld · 2017. 1. 20. · 913556-02 8. 913552-02 913559-02-45 913561-02-45 913563-02-45 913565-02 915113-06 Hotel 9112514-02-35 Haiku 915356-02 Hotel 917543-02 Nexx 9112506-02

SSP-MOE: Total Number of Families Fiscal and Calendar Year ...Nov-01 Dec-01: Jan-02 Feb-02: Mar-02 Apr-02: May-02 Jun-02: Jul-02 Aug-02: Sep-02 Oct-02: Nov-02 Dec-02: Average FY 2002

台灣人壽 | 首頁 · 2738 2738 -2738 2736 2738 2738- 2738- -2738- 2738- 2516- 524 521 -526- 2206- 02- 02- 02- 02- 02- 02- 02- 02 02- 02- 03 03- 03- 2738 2738 2733- 2377- 2739-

HK 416 CQB GBBR Parts List New - VegaForce · 2017. 12. 6. · UMAREX HK 416 CQB GBB Parts List 2016.11.01 Page 01 Page 02 02-1 02-8 02-2 02-3 02-4 02-9 02-11 02-12 02-13 02 02-5

 · 2010-06-17 · Código 02 06 02 0602 02 060203 02 06020305 02 07 02 0701 02 070101 02 070102 02 07010203 02 070103 02 07010301 02 07010305 02 070104 02 07010401 02 07010402 02

Phase 12 02-02 Phase 12 02-02 Page 1

 · 01 01- 02 02- 01 02- 02-02 02-05 02-05 02-05 02-08 02-09 05-00 05-51 05-52 ... AP. HeKJ1. B apyrv.1Te S VI noAS nnaTeHV1 aaHbUH,TaKCV1 VI aAMhH. CaHK14VIV1

 · date 14/02/2020 15/02/2020 16/02/2020 17/02/2020 18/02/2020 19/02/2020 20/02/2020 21/02/2020 22/02/2020 23/02/2020 24/02/2020 25/02/2020 26/02/2020

02 02 Modelos

Universidad Nacional de Tumbes...09 02 02 02 02 12 02 02 02 02 02 12 02 02 02 02 14 Total horas 04 05 04 05 27 Total horas 05 05 04 05 05 28 Total horas 04 05 04 23 REQUISITOS Métodos

Impex PVT. LTD. 911312383 911312249 911312252 911312173 911312182 02—003 02—00 S 02—007 02—011 02—013 02—015 02—019 02—021 02—023 911312169 911312157 9113121ea

Bienvenido | Portal de captura de información fundamental...FECHA 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017 24/02/2017