Weitere ähnliche Inhalte
Ähnlich wie 脆弱性診断って何をどうすればいいの?(おかわり) (20)
脆弱性診断って何をどうすればいいの?(おかわり)
- 4. ⾃⼰紹介
松本 隆則 (まつもと たかのり)
u 株式会社トレードワークス セキュリティ事業部
https://security.twroks.co.jp/
u Facebook
https://www.facebook.com/nilfigo
u Twitter
https://twitter.com/DYOH2017
- 5. ⾃⼰紹介
u 脆弱性診断研究会 管理⼈・セミナー講師
Ø Facebook 公開グループ
https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/
Ø Facebookコミュニティ
https://www.facebook.com/sec.testing.study.session/
Ø セミナー・イベント管理サイト
https://security-testing.doorkeeper.jp/
http://security-testing.connpass.com/
- 6. ⾃⼰紹介
u OWASP JAPAN プロモーションチーム(new!)
Ø https://www.owasp.org/index.php/Japan
Ø http://blog.owaspjapan.org/
- 7. OWASPって何?
The Open Web Application Security Project
Let's know OWASP!
https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226
⼯程別活⽤可能な資料・ツールの紹介
https://speakerdeck.com/owaspjapan/owasp-contents-reference
OWASPの歩き⽅
https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th
- 22. 4. HTTPリクエストヘッダー 例1
Cookieヘッダー
n ログイン処理が存在する
Cookieにセッション情報を管理するための⽂字列(セッ
ションID)が含まれることが多いため診断いたします。
n ログイン処理が存在しない(検索やお問い合わせなど)
Cookieが発⾏されていてもWebアプリケーション内部で
使⽤していない可能性があるため診断対象としないことが
あります。
- 30. 診断リクエストとパラメーター数の関係
1診断リクエスト ✕ 3パラメーター → 0.60 診断
1診断リクエスト ✕ 2パラメーター → 0.40 診断
1診断リクエスト ✕ 15パラメーター → 3.00 診断
合計 4.00 診断
仮に1診断リクエストの単価が10,000円で診断⼯数が1⽇とすると、3診断リクエストの
場合は「30,000円・3⽇」となるはずですが、実際の⾒積りは「40,000円・4⽇」とな
ります。
お客様からすると「3画⾯なのに4画⾯分の料⾦と⼯数ってどういうこと!?」と不信に思
われるかもしれませんが、決してボッタクリではありません!