Suche senden
Hochladen
脆弱性情報はこうしてやってくる
•
14 gefällt mir
•
3,859 views
J
JPCERT Coordination Center
Folgen
Vuls祭り#1 での講演資料です.
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 25
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!
JPAAWG (Japan Anti-Abuse Working Group)
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
apkiban
車両運行管理システムのためのデータ整備と機械学習の活用
車両運行管理システムのためのデータ整備と機械学習の活用
Eiji Sekiya
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
しくみ製作所
クラウドネイティブ時代の大規模ウォーターフォール開発(CloudNative Days Tokyo 2021 発表資料)
クラウドネイティブ時代の大規模ウォーターフォール開発(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
AWS Outposts/LocalZones/Wavelength勉強会
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
交差点の交通流におけるシミュレーション環境 を用いた深層強化学習に関する研究
交差点の交通流におけるシミュレーション環境 を用いた深層強化学習に関する研究
harmonylab
Empfohlen
A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!
JPAAWG (Japan Anti-Abuse Working Group)
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
apkiban
車両運行管理システムのためのデータ整備と機械学習の活用
車両運行管理システムのためのデータ整備と機械学習の活用
Eiji Sekiya
解説!30分で分かるLEAN ANALYTICS
解説!30分で分かるLEAN ANALYTICS
しくみ製作所
クラウドネイティブ時代の大規模ウォーターフォール開発(CloudNative Days Tokyo 2021 発表資料)
クラウドネイティブ時代の大規模ウォーターフォール開発(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
AWS Outposts/LocalZones/Wavelength勉強会
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
交差点の交通流におけるシミュレーション環境 を用いた深層強化学習に関する研究
交差点の交通流におけるシミュレーション環境 を用いた深層強化学習に関する研究
harmonylab
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
JPAAWG (Japan Anti-Abuse Working Group)
CTFとは
CTFとは
Hiromu Yakura
Ingest node scripting_deep_dive
Ingest node scripting_deep_dive
Hiroshi Yoshioka
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
NTT DATA Technology & Innovation
マーケティング・戦略・組織視点のBIGDATA活用について
マーケティング・戦略・組織視点のBIGDATA活用について
Recruit Technologies
【Sgt2016】Agile人材の評価とキャリアプラン
【Sgt2016】Agile人材の評価とキャリアプラン
Ryota Inaba
レアジョブの採用における取り組みまとめ
レアジョブの採用における取り組みまとめ
Yuichiro "Philip" Yamada
俺のTerraform CI/CD ライフサイクル
俺のTerraform CI/CD ライフサイクル
HonMarkHunt
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
祐司 伊藤
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
Kozo Takei
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
Yuki Koike
20190804_icml_kyoto
20190804_icml_kyoto
Takayoshi Yamashita
Ruby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構について
Tomoya Kawanishi
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
クラウド環境下におけるAPIリトライ設計
クラウド環境下におけるAPIリトライ設計
Kouji YAMADA
webエンジニアのためのはじめてのredis
webエンジニアのためのはじめてのredis
nasa9084
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
Recruit Technologies
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
VirtualTech Japan Inc.
軟體工程(總結篇)
軟體工程(總結篇)
鍾誠 陳鍾誠
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
Weitere ähnliche Inhalte
Was ist angesagt?
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
JPAAWG (Japan Anti-Abuse Working Group)
CTFとは
CTFとは
Hiromu Yakura
Ingest node scripting_deep_dive
Ingest node scripting_deep_dive
Hiroshi Yoshioka
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
NTT DATA Technology & Innovation
マーケティング・戦略・組織視点のBIGDATA活用について
マーケティング・戦略・組織視点のBIGDATA活用について
Recruit Technologies
【Sgt2016】Agile人材の評価とキャリアプラン
【Sgt2016】Agile人材の評価とキャリアプラン
Ryota Inaba
レアジョブの採用における取り組みまとめ
レアジョブの採用における取り組みまとめ
Yuichiro "Philip" Yamada
俺のTerraform CI/CD ライフサイクル
俺のTerraform CI/CD ライフサイクル
HonMarkHunt
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
祐司 伊藤
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
Kozo Takei
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
Yuki Koike
20190804_icml_kyoto
20190804_icml_kyoto
Takayoshi Yamashita
Ruby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構について
Tomoya Kawanishi
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
クラウド環境下におけるAPIリトライ設計
クラウド環境下におけるAPIリトライ設計
Kouji YAMADA
webエンジニアのためのはじめてのredis
webエンジニアのためのはじめてのredis
nasa9084
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
Recruit Technologies
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
VirtualTech Japan Inc.
軟體工程(總結篇)
軟體工程(總結篇)
鍾誠 陳鍾誠
Was ist angesagt?
(20)
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
A1-5 注意喚起に注意して! フィッシングサイト発生時の対応
CTFとは
CTFとは
Ingest node scripting_deep_dive
Ingest node scripting_deep_dive
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
マーケティング・戦略・組織視点のBIGDATA活用について
マーケティング・戦略・組織視点のBIGDATA活用について
【Sgt2016】Agile人材の評価とキャリアプラン
【Sgt2016】Agile人材の評価とキャリアプラン
レアジョブの採用における取り組みまとめ
レアジョブの採用における取り組みまとめ
俺のTerraform CI/CD ライフサイクル
俺のTerraform CI/CD ライフサイクル
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
emscriptenでC/C++プログラムをwebブラウザから使うまでの難所攻略
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
ホラクラシー組織を作ってみよう(ホラクラシー導入実践編)
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
OpenSIM 筋骨格シミュレーション 基本の解析マニュアル(改訂1))
20190804_icml_kyoto
20190804_icml_kyoto
Ruby on Rails のキャッシュ機構について
Ruby on Rails のキャッシュ機構について
TLS, HTTP/2演習
TLS, HTTP/2演習
クラウド環境下におけるAPIリトライ設計
クラウド環境下におけるAPIリトライ設計
webエンジニアのためのはじめてのredis
webエンジニアのためのはじめてのredis
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
リクルートのビッグデータ活用基盤とデータ活用に向けた取組み
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
5G時代のアプリケーション開発とは - 5G+MECを活用した低遅延アプリの実現へ
軟體工程(總結篇)
軟體工程(總結篇)
Ähnlich wie 脆弱性情報はこうしてやってくる
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP Kansai
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
Satoru Yamamoto
20171115 社長5年会
20171115 社長5年会
Takayuki Horimoto
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
FIDO Alliance
データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料
The Japan DataScientist Society
JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀
akihori0530
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
グローバルセキュリティエキスパート株式会社(GSX)
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
YangnuoLiu
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
takumibp
Conformity assessment of trust services
Conformity assessment of trust services
Toru Yamauchi
営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング
Satoru Yamamoto
Open stack概要とよくある議論
Open stack概要とよくある議論
shintaro mizuno
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilization
DataWorks Summit
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
aitc_jp
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
JPCERT Coordination Center
xDataTech profile 20190125
xDataTech profile 20190125
Tokihiro Umeyama
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
Dentsu Razorfish
2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homata
Hiroshi Omata
Ähnlich wie 脆弱性情報はこうしてやってくる
(20)
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
「日本を取り巻く最新の脅威情報とJPCERT/CC の活動」OWASP Kansai
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
【DMP x LPO ABテスト】パブリックdmpを用いたデータドリブンペルソナ構築
20171115 社長5年会
20171115 社長5年会
FIDO2導入してみたを考えてみた
FIDO2導入してみたを考えてみた
データサイエンティスト協会 会員制度説明資料
データサイエンティスト協会 会員制度説明資料
JAISAスマート農業講演資料 堀
JAISAスマート農業講演資料 堀
なぜ今、セキュリティ人材の育成が叫ばれているのか
なぜ今、セキュリティ人材の育成が叫ばれているのか
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
中国のブロックチェーン技術の発展状況、投資事例勉強会 toBサービス編
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
夏まつり2016 Session4(事例ローテーション:インフォテック 謝花様)
Conformity assessment of trust services
Conformity assessment of trust services
営業現場で困らないためのディープラーニング
営業現場で困らないためのディープラーニング
Open stack概要とよくある議論
Open stack概要とよくある議論
The way to a smart factory armed with data utilization
The way to a smart factory armed with data utilization
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
xDataTech profile 20190125
xDataTech profile 20190125
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
失敗談から学ぶ!アクションにつながるデータ分析のコツ[2014.12.11 開催セミナー]
2014/06/19 第3回 CKAN コミュニティミーティング | homata
2014/06/19 第3回 CKAN コミュニティミーティング | homata
Mehr von JPCERT Coordination Center
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
JPCERT Coordination Center
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
JPCERT Coordination Center
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
JPCERT Coordination Center
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
JPCERT Coordination Center
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
JPCERT Coordination Center
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
JPCERT Coordination Center
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
Android Secure Coding
Android Secure Coding
JPCERT Coordination Center
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JPCERT Coordination Center
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
JPCERT Coordination Center
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
JPCERT Coordination Center
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
JPCERT Coordination Center
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
JPCERT Coordination Center
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
JPCERT Coordination Center
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JPCERT Coordination Center
Mehr von JPCERT Coordination Center
(20)
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
Android Secure Coding
Android Secure Coding
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
脆弱性情報はこうしてやってくる
1.
脆弱性情報はこうして やってくる JPCERT/CC 情報流通対策グループ ⼾⽥洋三 2016.09.26 Vuls 祭り#1
2.
Copyright ©2016 JPCERT/CC
All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田 洋三 脆弱性情報分析, セキュアコー ディング普及啓発活動…… に努めてます 1
3.
Copyright ©2016 JPCERT/CC
All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
4.
Copyright ©2016 JPCERT/CC
All rights reserved. JPCERT/CCの主な活動 3
5.
Copyright ©2016 JPCERT/CC
All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
6.
Copyright ©2016 JPCERT/CC
All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
7.
Copyright ©2016 JPCERT/CC
All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対 策に資することを目的とする脆弱性対策情報ポータルサイトで す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ りJPCERT コーディネーションセンターと独立行政法人情報処 理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
8.
Copyright ©2016 JPCERT/CC
All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
9.
Copyright ©2016 JPCERT/CC
All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは JVN iPedia.
10.
Copyright ©2016 JPCERT/CC
All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象とし、 データベースとして蓄積しています。 一方、JVNでは、…早期警戒パートナーシップで取扱われた脆 弱性関連情報や、協力関係を結んでいる海外のCERT等から の脆弱性対策情報を掲載しています。 http://jvndb.jvn.jp/nav/jvndb.html 脆弱性対策情報が公表されてから一週間程度を目安に公開し ています。 JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国 NISTが運営するNVDおよび国内ベンダから情報収集していま す。
11.
Copyright ©2016 JPCERT/CC
All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載。 基本的には JVN と NVD の データをもとに構成。 データの蓄積と検索機能を 重視。
12.
Copyright ©2016 JPCERT/CC
All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
13.
Copyright ©2016 JPCERT/CC
All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
14.
Copyright ©2016 JPCERT/CC
All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html ソフトウエア等脆弱性関連情報取扱基準 (2004年7⽉制定) http://www.meti.go.jp/policy/netsecurity/vulinfo.html
15.
Copyright ©2016 JPCERT/CC
All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
16.
Copyright ©2016 JPCERT/CC
All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒 パートナーシップガイドライン」を公表 (2004年7⽉) 参考: https://www.jpcert.or.jp/press/2004/0708.txt
17.
Copyright ©2016 JPCERT/CC
All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
18.
Copyright ©2016 JPCERT/CC
All rights reserved.17 CVE はどうなってるの?
19.
Copyright ©2016 JPCERT/CC
All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当ては CNA(CVE Numbering Authority) から MITRE 以外にソフトウェア開発ベンダや CSIRT(CERT/CC, JPCERT/CC) などが CNA と して割り当てを⾏っている 参考: https://cve.mitre.org/cve/cna.html#participating_cnas
20.
Copyright ©2016 JPCERT/CC
All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http://www.openwall.com/lists/oss-security/2016/09/
21.
Copyright ©2016 JPCERT/CC
All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
22.
Copyright ©2016 JPCERT/CC
All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http://jvndb.jvn.jp/) 脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/) 脆弱性対策 (https://www.ipa.go.jp/security/vuln/) Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演) (http://www.slideshare.net/jpcert_securecoding/lessons- to-be-learned-from-handling-openssl-vulnerabilities) 経済産業省告⽰の改正 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik okuji.pdf) CVE: Common Vulnerabilities and Exposures (https://cve.mitre.org/) 21
23.
Copyright ©2016 JPCERT/CC
All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/event/20040720.html) JPCERT/CC プレスリリース: 「情報セキュリティ早期警 戒パートナーシップ」の運⽤を開始 (https://www.jpcert.or.jp/press/2004/0708.txt) 経済産業省告⽰(2004年7⽉7⽇) (http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf) JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク ショップ (2004-03-09) (https://www.jpcert.or.jp/present/) 22
24.
Copyright ©2016 JPCERT/CC
All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ (vultures@jpcert.or.jp) JVN: Japan Vulnerability Notes (https://jvn.jp/) お問い合わせ先とFAQ (https://jvn.jp/contact/)
25.
Copyright ©2016 JPCERT/CC
All rights reserved.24 Thank you!
Jetzt herunterladen