自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問セキュリティキャンプ Webセキュリティクラス OWASP Kansai Chapter Leader OWASP Japan board member

Size: px

Start display at page:

Download "自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問セキュリティキャンプ Webセキュリティクラス OWASP Kansai Chapter Leader OWASP Japan board member"

とよみおいもり
9 years ago
Views:

1 HTML5 時代の Web セキュリティ May Yosuke HASEGAWA

2 自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問セキュリティキャンプ Webセキュリティクラス OWASP Kansai Chapter Leader OWASP Japan board member

5 宣伝セキュリティキャンプ

6 セキュリティキャンプの紹介セキュリティキャンプ全国大会開催決定!

7 セキュリティキャンプとは中央大会/全国大会 22歳以下の学生を対象とした合宿型講習会業界の第一線で活躍するセキュリティ技術者が講師 2004年から2013年まで10回開催 438名の学生が参加主催セキュリティキャンプ実施協議会独立行政法人情報処理推進機構(IPA)

8 セキュリティキャンプとはセキュリティキャンプ実施協議会 2012年2月設立 30の団体企業が参加(2014年2月時点) (ISC)2Japan サイボウズ株式会社株式会社日立製作所株式会社イーセクター株式会社セキュアソフト富士通エフアイピー株式会社伊藤忠テクノソリューションズ株式会社ソニー株式会社フューチャーアーキテクト株式会社株式会社インテリジェントウェイブトレンドマイクロ株式会社株式会社三菱総合研究所 SCSK株式会社一般財団法人日本情報経済社会推進協会三菱電機株式会社エヌティティコミュニケーションズ株式会社一般社団法人日本情報システムユーザー協会株式会社エヌティティデータ日本電気株式会社 LINE株式会社株式会社オービックビジネスコンサルタント日本電信電話株式会社楽天株式会社グーグル株式会社株式会社野村総合研究所株式会社ラック株式会社サイバーエージェントパナソニックアドバンストテクノロジー株式会社株式会社リクルートテクノロジーズヤフー株式会社

9 参加者数開催年参加者数講師数備考人(男性28 女性2) 8人 U 人(男性26 女性4) 11人 5泊6日人(男性32 女性4) 14人 U-22化人(男性32 女性3) 14人人(セ:29 プ:18) 24人人(セ:31 プ:30) 29人人(セ:30 プ:29) 37人 CTF 人(セ:45 プ:15) 28人大阪開催人(男性39 女性1) 20人プログラミングコース廃止人(男性36 女性5) 18人 +プログラミングコース

10 クラス分けソフトウェアセキュリティクラス Web セキュリティクラスネットワークセキュリティクラスセキュアなシステムを作ろうクラス

11 出てきた人たちキャンプ講師になったキャンプで出会って結婚した自分の言語作った目でgrepしたキャンプで出会った仲間と起業した未踏やった日本学生科学賞科学技術振興機構賞取った最近若いのにすごい人や変な人多くて楽しいヽ( ー )ノ

12 目指したいもの世の中の解決できていない課題を認識させたいビジネスチャンス物作りコード書きをしながらのセキュリティアドホックやバッドノウハウではないセキュリティブラウザやOSなどあんまり誰も見てないところのセキュリティコミュニティーパワーになる人を増やしたい変な人の変さを増幅笑したい

13 そろそろ応募開始応募資格日本国内に居住する 2014年3月31日時点において22歳以下の学生生徒セキュリティキャンプ大人の人はスポンサーに検索

14 本題 HTML5 時代の Web セキュリティ

15 HTML5時代のWebアプリ次々とリリースされるブラウザ多数の新しい要素と属性 canvas, video, audio, input 多数の新しいAPI Web Sockets, Web Storage, XHR Lv.2 最適化されたJavaScriptエンジン高速化された描画エンジンどのブラウザにどの機能が実装されているのか把握できない第23回山陰ITPro勉強会

0 1 第23回山陰ITPro勉強会 6 7 2 8 3 9 2011 8 3.

16 次々リリースされるブラウザ第23回山陰ITPro勉強会

17 HTML5 の新機能マルチメディアのサポート <video> <audio> <canvas>... 文書構造を表す要素 <section> <header> <footer>... フォームの拡張 <input type=" ">... JavaScript API Web Workers, WebSocket, File... その他

18 HTML5 時代の Web アプリ HTML5 時代のブラウザ高速化高機能化実行コードのブラウザ上へのシフトネイティブアプリから Web アプリへサーバ側で実行されていた処理がブラウザの JavaScript 上へ攻撃もクライアントサイドへシフト JavaScript 上の問題点の増加 XSS や CSRF などの比重が増加

19 Web の技術楽しいですよね!

20 クロスサイトスクリプティング書式文字列攻撃 SQL インジェクションパストラバーサル CSRF LDAP インジェクション強制ブラウズリモートファイルインクルードバッファオーバーフローセッションハイジャック Web の技術楽しいですよね! OS コマンドインジェクションセッション固定攻撃 HTTPレスポンス分割メモリリークオープンリダイレクタ DoS XPath インジェクション HTTP ヘッダインジェクション

21 HTML5 を使った攻撃攻撃側こそ新しい Web の技術をもっとも活用できるクロスブラウザ対応不要! 誰に遠慮することもなく使いたい技術を選んで使える! 多少不安定な技術でもかまわない!

22 HTML5 で増加する脅威 XSS HTML5 の新要素による XSS JS コード量の増加 DOM Based XSS Ajax データによる XSS CSRF XMLHttpRequest で攻撃者有利オープンリダイレクタ JavaScript によるリダイレクトの増加その他 Ajax データからの情報漏えい API の使い方の問題 Web Storage WebWorkers XDM

23 HTML5で増加する脅威攻撃もクライアントサイドへシフト JavaScriptを通じた攻撃の比重が増加 XSSのリスクも増加多くの点から見て XSS 脆弱性の危険性はバッファオーバーフローに匹敵しますセキュリティに関するブリーフィング : Web に対する SDL の適用第23回山陰ITPro勉強会

24 5 分でわかる対策

25 HTML5 調査報告 from JPCERT/CC

26 @IT 連載 HTML5 時代の新しいセキュリティエチケット HTML5 時代の新しいセキュリティエチケット (1) 重要! まずはオリジンを理解しよう (2) 単純ではない最新クロスサイトスクリプティング事情 (3) 知っていれば恐くない XMLHttpRequest による XSS への対応方法

27 読みましょう! 以上!

29 HTML5 時代の脆弱性

30 HTML5 で増加する脅威 XSS HTML5 の新要素による XSS JS コード量の増加 DOM Based XSS Ajax データによる XSS CSRF XMLHttpRequest で攻撃者有利オープンリダイレクタ JavaScript によるリダイレクトの増加その他 Ajax データからの情報漏えい API の使い方の問題 Web Storage WebWorkers XDM

31 そもそも XSS って? 簡単におさらい

32 XSS おさらい対象動的に HTML を生成する Web アプリ問題攻撃者が用意したスクリプトが HTML 内に挿入される対策 HTML を生成する時点でエスケープ

33 XSSおさらい攻撃者被害者 GET /?item="><script>... <input type="text" value=""><script>... HTMLを生成するときのエスケープ漏れ第23回山陰ITPro勉強会オンラインショップなど

34 XSSおさらい攻撃者被害者 GET /?item="><script>... <input type="text" value=""><script>... 反射型XSS ユーザの送信内容をそのまま表示するオンラインショップなど第23回山陰ITPro勉強会

35 XSSおさらい攻撃者被害者 Subject: test mail <html><script>... HTMLを生成するときのエスケープ漏れ第23回山陰ITPro勉強会 Subject: test mail <html><script>... Webメールなど

36 XSSおさらい攻撃者被害者 Subject: test mail <html><script>... Subject: test mail <html><script>... 持続型/蓄積型XSS HTMLを生成するときの攻撃者のスクリプトはサーバ内で保持されている Webメールなどエスケープ漏れ第23回山陰ITPro勉強会

37 XSS おさらい対象動的に HTML を生成する Web アプリ問題攻撃者が用意したスクリプトが HTML 内に挿入される対策 HTML を生成する時点でエスケープ

38 大原則 HTML を生成する時点でエスケープって何だっけ? おさらい

39 XSSおさらい HTMLを生成する時点でエスケープ! < < > > " " ' ' & & <html> < > データ第23回山陰ITPro勉強会処理 HTML生成ユーザ

40 エスケープの例外 href src 等の URL の動的生成 <a href="javascript:alert(1)"> <iframe src="data:text/html;base64, PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K"> http 以外のスキームに注意 JavaScript 内の動的生成 <script> var s="</script><script>alert(1)//"; </script> JS 内の文字列リテラルは HTML とは異なるエスケープ

41 XSS おさらい HTML を生成する時点でエスケープコンテキスト ( 文脈 ) に応じたエスケープコンテキストが入れ子になっているときはエスケープも入れ子に <div onclick="foo(' u0022><script> ');"> URL の動的生成 href src 等は http,https 限定とする

42 やってはいけない XSS 対策

43 やってはいけないXSS対策入力時のサニタイズ < < > > " " ' ' & & データサニタイズ第23回山陰ITPro勉強会 <html> < > 処理 HTML生成ユーザ

44 やってはいけない : 入力時のサニタイズ入力時点でのデータの加工はプログラム規模が大きくなると破綻するサニタイズという語が本来の意味を失って意味不明になっている続きは Web でサニタイズ言うな検索

45 XSS の種類

46 XSS の種類反射型 XSS / Type-1 ユーザからの送信内容をそのまま表示 XSSフィルタ等である程度防御お問い合わせフォームサイト内検索持続型 XSS / Type-2 攻撃者のスクリプトがサーバ内で保持掲示板 Webメール

攻撃者のスクリプトがサーバ内で保持掲示板 Webメール GETだけでなくPOSTもあり得る GET /?

47 XSSの種類反射型XSS / Type-1 ユーザからの送信内容をそのまま表示 XSSフィルタ等である程度防御お問い合わせフォームサイト内検索持続型XSS / Type-2 攻撃者のスクリプトがサーバ内で保持掲示板 Webメール GETだけでなくPOSTもあり得る GET /?item="><script>... <input type="text" value=""><script>... 第23回山陰ITPro勉強会

48 XSS の種類 - 反射型 XSS 反射型 XSS の場合リクエストとレスポンスに同じ内容が含まれる GET /?<script>alert(1)</script> HTTP/1.1 Host: example.jp HTTP/ OK Content-Type: text/hthml; charst=utf-8 <html> <body> <script>alert(1)</script> </body>

49 XSS の種類 - 反射型 XSS 反射型 XSS の場合リクエストとレスポンスに同じ内容が含まれる GET /?<script>alert(1)</script> HTTP/1.1 Host: example.jp HTTP/ OK Content-Type: text/hthml; charst=utf-8 <html> <body> <script>alert(1)</script> </body>

50 XSS の種類 - 反射型 XSS

51 XSS の種類 - 反射型 XSS

52 XSS の種類 - 反射型 XSS 反射型 XSS / Type 年 8 月 Twitter こんにちはこんにちは

53 XSS の種類反射型 XSS / Type-1 ユーザからの送信内容をそのまま表示 XSSフィルタ等である程度防御お問い合わせフォームサイト内検索持続型 XSS / Type-2 攻撃者のスクリプトがサーバ内で保持掲示板 Webメール

54 XSS の種類反射型 XSS / Type-1 ユーザからの送信内容をそのまま表示 XSSフィルタ等である程度防御お問い合わせフォームサイト内検索持続型 XSS / Type-2 攻撃者のスクリプトがサーバ内で保持掲示板 Webメール Subject: test <script>... Subject: test <script>...

55 XSS の種類 - 持続型 XSS 2006 年 6 月 mixi こんにちはこんにちは 2010 年 9 月 Twitter

56 XSS の種類 - 持続型 XSS 2006 年 Yahoo! メール

57 ここまで XSS の復習です!

58 XSS with HTML5 elms

59 HTML5 の新要素による XSS これまでの間違った XSS 対策危険そうな要素を検出 <script> <object> <iframe> onxxx href などの名称の属性を検出 <div onmouseover=alert(1)> <img src=# onerror=alert(1)> <a href="javascript:alert(1)> これまで仮にこの方法で網羅できていたとしても

60 HTML5 の新要素による XSS HTML5 で多数の要素属性イベントが導入 <input autofocus pattern="..."> <video onplay="...">

61 HTML5 の新要素による XSS いわゆるブラックリストでの対応に漏れ <form> <button formaction="javascript:alert(1)">x </button> // そもそもブラックリスト方式は無理がある HTML 生成時にエスケープの原則 HTML5 と関係なく XSS を防げる

62 DOM based XSS

63 XSS の種類反射型 XSS / Type-1 ユーザからの送信内容をそのまま表示 XSSフィルタ等である程度防御お問い合わせフォームサイト内検索 // div.innerhtml = location.hash; 持続型 XSS / Type-2 攻撃者のスクリプトがサーバ内で保持掲示板 Webメール DOM based XSS / Type-0 JavaScriptが引き起こすサーバ側のHTML 生成には問題なし

64 DOM based XSS JavaScript が引き起こす XSS サーバ側の HTML 生成時には問題なし JavaScript による HTML レンダリング時の問題 // div.innerhtml = location.hash.substring(1); JavaScript の利用に合わせて増加

65 DOM based XSS

66 DOM based XSS

67 DOM based XSS

68 DOM Based XSS ブラウザの XSS フィルタを通過することが多い location.hash 内の実行コードはサーバ側にログが残らない // div.innerhtml = location.hash.substring(1); history.pushstate でアドレスバー書き換え技術のあるユーザでも XSS に気づきにくい

69 DOM based XSS DOM based XSS は増えている JavaScript の大規模化に伴い増加サーバ側での対策と原則は同じ HTML 生成時にエスケープ URL 生成時は http(s) のみ CSS backgroundimage 等への代入やイベントハンドラの動的生成は避ける

70 DOM based XSS HTML 生成時にエスケープ div.innerhtml = s.replace( /&/g, "&" ).replace( /</g, "<" ).replace( />/g, ">" ).replace( /"/g, """ ).replace( /'/g, "'" ); むしろ textnode を使おう! div.appendchild( document.createtextelement( s ) );

71 DOM based XSS URL 生成時は http(s) のみ // bad code div.innerhtml = '<a href="' + url + '">' + url + '</a>'; if( url.match( /^https?: / // ) ){ var elm = docuement.createelement( "a" ); elm.appendchild( document.createtextnode( url ) ); elm.setattribute( "href", url ); div.appendchild( elm ); }

72 DOM based XSS URL 生成時は http(s) のみリダイレクト時はオープンリダイレクタを発生させないよう同一ホストに制限 var base = location.protocol + "//" + location.host + "/"; if( url.substring( 0, base.length ) == base ){ location.href = url; }

73 DOM based XSS URL の確認は実はめんどうくさい詳細はめんどうくさい Web セキュリティ参照

74 XSS with Ajax data

XSS with Ajax data IE の Content-Type 無視 HTML ではないものが HTML に昇格して XSS HTTP/1.

75 XSS with Ajax data IE の Content-Type 無視 HTML ではないものが HTML に昇格して XSS HTTP/ OK Content-Type: application/json; charset=utf-8 { "msg" : "<script>alert(1)</script>" }

76 XSS with Ajax data IE は最終的にファイルタイプに基づいてコンテンツを処理する Content-Type 以外にも様々な要因からファイルタイプを決定文書化されていない複雑なメカニズムファイルのダウンロードダイアログで表示されるファイル名の命名規則ファイルタイプ決定のメカニズム解明に近づく唯一のドキュメント

77 XSS with Ajax data ファイルタイプの決定因子 "Content-Type" HTTP レスポンスヘッダ "X-Content-Type-Option" HTTP レスポンスヘッダ Windows レジストリにおける関連付け IE の設定 :" 拡張子ではなく内容によってファイルを開く " URL 自身コンテンツそのもの

78 IEにおけるファイルタイプ決定のメカニズム Content-Typeがレジストリに登録されている? [ HKEY_CLASSES_ROOT MIME Database Content Type ] Y N ファイルタイプを仮決定外部プラグイン/アプリが必要? IE8+ && "X-Content-Type-Options:nosniff"? Y Y プラグインを起動またはダウンロード N IE8+ && "X-Content-Type-Options:nosniff"? Y N ダウンロード仮決定したファイルタイプを使用 N 拡張子ではなく内容によってファイルを開く設定値有効コンテンツをsniffしファイルタイプを決定無効仮決定したファイルタイプを使用 URLの拡張子が ".cgi" または ".exe" または "/"? Y e.g. N QUERY_STRINGからファイルタイプを仮決定 URLの拡張子からファイルタイプを仮決定外部プラグイン/アプリが必要? 外部プラグイン/アプリが必要? N コンテンツをsniffしファイルタイプを決定これ以外にも例外的な挙動が多数あり Y プラグインを起動またはダウンロード N コンテンツをsniffしファイルタイプを決定 Y プラグインを起動またはダウンロード 78 Yosuke HASEGAWA

79 XSS with Ajax data Ajax データを利用した XSS Ajax でやり取りされるデータを直接ブラウザ上で開いたときに XSS JSON - JSON 文字列内 {"text" :"<script>..." } JSONP - callback 名プレーンテキスト, CSV

80 XSS with Ajax data JSON ならエスケープできなくはないけど HTTP/ OK Content-Type: application/json; charset=utf-8 { "msg" : " u003cscript u003ealert(1) u003c/script u003e" } text/plain とか text/csv とかエスケープできない

81 XSS with Ajax data 対策 X-Content-Type-Options を付ける HTTP/ OK Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "msg" : "<script>alert(1)</script>" } 非 HTML が HTML 扱いされることがなくなる

82 XSS まとめ

83 XSS beyond HTML5 XSS の増加 HTML5の新要素によるXSS JSコード量の増加 DOM Based XSS AjaxデータによるXSS

84 XSS beyond HTML5 対策は従来と大きくは変わらない HTML 生成時にエスケープの原則 URL 生成時は http(s) スキームのみ許可 X-Content-Type-Options はとにかく付けておけ攻撃可能な箇所は増える新しい HTML 要素属性イベント JS コード量の増加 Ajax 使用量の増加

85 セキュリティ関係のレスポンスヘッダ

86 セキュリティ関係のレスポンスヘッダ使いこなすことでよりセキュアに X-XSS-Protection X-Content-Type-Options X-Frame-Options Content-Security-Policy X-Download-Options Strict-Transport-Security

87 セキュリティ関係のレスポンスヘッダ X-XSS-Protection

88 X-XSS-Protection XSS 保護機能の制御 IE,Chrome,Opera,Safariで有効 XSS 保護機能をそのページのみ無効にする X-XSS-Protection: 0 XSS 保護機能を明示的に有効にする ( デフォルト有効になっている ) X-XSS-Protection: 1 XSS 保護機能を有効にし XSS 検知時に空白画面を表示 X-XSS-Protection: 1; mode=block

89 X-XSS-Protection XSS フィルターを無効に設定やめて!

90 X-XSS-Protection XSS フィルターの誤検知のエラーを消すには該当ページに XSS がないか慎重に検査したうえでそのページのみ X-XSS-Protection:0 を指定ブラウザの設定変更を指示しないで!

91 セキュリティ関係のレスポンスヘッダ X-Content-Type-Options

92 X-Content-Type-Options Content-Type を厳格に扱う非 HTML を HTML 扱いしない JSON や CSV による XSS の防止 Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "message", "<script>alert(1)</script>" } 非 JS を <script src> として読み込まない script src 経由での情報漏えい防止 Firefox Chrome などでも Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff [ "secret", "message", "is", "here" ]

93 X-Content-Type-Options 副作用はほとんどないので全コンテンツにつけるべき稀有な副作用例 JSONP/JSONで共通処理 Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff { "message", "<script>alert(1)</script>" } Content-Type: application/json; charset=utf-8 X-Content-Type-Options: nosniff callback( { "message", "<script>alert(1)</script>" } ) <script src="api/jsonp?cb=callback"></script> 失敗する第23回山陰ITPro勉強会

94 セキュリティ関係のレスポンスヘッダ X-Frame-Options

95 X-Frame-Options クリックジャッキング標的サイトを透明に重ね意図しないクリック等を引き起こす攻撃透明表示の標的サイト罠サイト第23回山陰ITPro勉強会

96 X-Frame-Options クリックジャッキング対策 iframe,frame 等での埋め込みを禁止する全ての埋め込みを禁止 X-Frame-Options: DENY 同一オリジン以外からの埋め込みを禁止 X-Frame-Options: SAMEORIGIN 指定オリジン以外からの埋め込みを禁止 X-Frame-Options: ALLOW-FROM

97 X-Frame-Options X-Frame-Options: ALLOW-FROM X-Frame-Options: ALLOW-FROM からの埋込みのみ許可 ALLOW-FROM に指定できるオリジンはひとつだけ複数のオリジンからの埋め込み許可はそのままではできない Firefox のみスペース区切りで複数オリジンの指定可能

98 X-Frame-Options ALLOW-FROM の複数オリジン対応呼出し元オリジンごとに識別子を URL に付与 // 上 <iframe src=" # child.example.jp/ my $allows = { p1 => ' }; my $from = $allows->{ $params->{from} }; if( $from ){ print "X-Frame-Options: ALLOW-FROM $from n"; }else{ print "X-Frame-Options: DENY n"; }

99 セキュリティ関係のレスポンスヘッダ Content-Security-Policy

100 Content-Security-Policy ヘッダで指定されたソースからしか画像や JS を読み込めなくする HTTP/ OK Content-Security-Policy: default-src 'self'; image-src *; Content-Type: text/html; charset=utf-8 Chrome 拡張や FirefoxOS アプリの開発時にイラッとするアレ使いこなせば XSS も怖くないけれど実際の運用は超たいへん

101 セキュリティ関係のレスポンスヘッダ X-Download-Options

X-Download-Options IE8 以降でダウンロード時に開くボタンを非表示 HTTP/1.

102 X-Download-Options IE8 以降でダウンロード時に開くボタンを非表示 HTTP/ OK Content-Disposition: attachment; filename="index.html" X-Download-Options: noopen <html><script>... X-Download-Options なし X-Download-Options あり

103 X-Download-Options ダウンロード時の開くボタン非表示添付ファイルによる蓄積型の XSS を予防することができる安全なコンテンツをユーザーが直接開くことができなくなるので利便性は下がる不特定多数のユーザーが添付ファイルを掲載できる Web アプリでは一考の価値あり

104 セキュリティ関係のレスポンスヘッダ Strict-Transport-Security

105 Strict-Transport-Security HTTPS を強制するための指令 HTTP/ OK Strict-Transport-Security: max-age= HTTP/ OK Strict-Transport-Security: max-age= ; includesubdomains これ以降の HTTP へのアクセスは HTTPS に置き換わる max-age は有効期間を秒数で指定 includesubdomains が指定されるとサブドメインも対象

106 Strict-Transport-Security HTTPSサイトのみがStrict-Transport- Securityヘッダを返す HTTP/ OK Strict-Transport-Security: max-age= HTTP はすでに汚染されているかもしれないので Firefox Chrome などは常に HTTPS で通信する "preload HSTS" のリストを持っている

107 Strict-Transport-Security Preload HSTS list Firefox Chrome は常に HTTPS で通信するサイトのリストを持っている申請すれば掲載してもらえる ( 常時 SSL 化!) cybozu.com を真に常時 SSL にする話 Cybozu Inside Out サイボウズエンジニアのブログ

108 質問タイム Question?

109 Question? 質問 @hasegawayosuke

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct Bypass SOP in a time of HTML5 Jan 29 2014 Yosuke HASEGAWA 自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問 Microsoft MVP for Consumer Security Oct 2005 - http://utf-8.jp/ お知らせ HTML5 調査報告 from JPCERT/CC

自己紹介 はせがわようすけ ネットエージェント株式会社 株式会社セキュアスカイ テクノロジー技術顧問 セキュリティ キャンプ Webセキュリティクラス OWASP Kansai Chapter Leader OWASP Japan board member

自己紹介はせがわようすけネットエージェント株式会社株式会社セキュアスカイテクノロジー技術顧問セキュリティキャンプ Webセキュリティクラス OWASP Kansai Chapter Leader OWASP Japan board member