SlideShare ist ein Scribd-Unternehmen logo

脆弱性診断って何をどうすればいいの?(おかわり)

脆弱性診断研究会
脆弱性診断研究会

脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。

Internet
1 von 32
Downloaden Sie, um offline zu lesen
第35回 脆弱性診断ええんやで(^^) 「脆弱性診断って何をどうすればいいの?」 (おかわり) 脆弱性診断研究会 株式会社トレードワークス セキュリティ事業部
Agenda u 脆弱性診断研究会とは u ⾃⼰紹介 u OWASPって何? u 診断対象⾒積りの考え⽅ u 質疑応答
脆弱性診断研究会とは 株式会社トレードワークスのセキュリティ事業部にて運営 Webアプリケーションやネットワーク機器などに対するセキュリティ診断 の最新⼿法や診断ツール使⽤法の勉強や研究をするためのコミュニティ コワーキングスペース茅場町 Co-Edo(コエド)様にて第1回セミナーを 2014年8⽉に開催して以来、2016年1⽉現在で31回のパブリックセミナー を実施 クライアント向けプライベートセミナーは年に数回実施
⾃⼰紹介 松本 隆則 (まつもと たかのり) u 株式会社トレードワークス セキュリティ事業部 https://security.twroks.co.jp/ u Facebook https://www.facebook.com/nilfigo u Twitter https://twitter.com/DYOH2017
⾃⼰紹介 u 脆弱性診断研究会 管理⼈・セミナー講師 Ø Facebook 公開グループ https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/ Ø Facebookコミュニティ https://www.facebook.com/sec.testing.study.session/ Ø セミナー・イベント管理サイト https://security-testing.doorkeeper.jp/ http://security-testing.connpass.com/
⾃⼰紹介 u OWASP JAPAN プロモーションチーム(new!) Ø https://www.owasp.org/index.php/Japan Ø http://blog.owaspjapan.org/
OWASPって何? The Open Web Application Security Project Let's know OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 ⼯程別活⽤可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き⽅ https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th
診断対象⾒積りの考え⽅ ⾼いのか安いのかわからん と評判の脆弱性診断のサー ビス価格の根拠ってなに?
診断対象⾒積りの考え⽅ ⾒積りする前に、ある程度 脆弱性診断の仕組みを把握 しておけばイロイロ捗る!
診断対象⾒積りの考え⽅ サービス価格⾒積り根拠の ⼀つである診断対象数の数 え⽅が今回のテーマです。
診断対象⾒積りの考え⽅ 「診断リクエスト」 ↓ パラメーターを伴うリクエスト
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
1. クエリー⽂字列 http://zsk.example/index.php?user=test&pswd=t est 診断対象パラメーター • user • pswd
1. クエリー⽂字列 例1 a.http://zsk.example/index.php? page=info.php&user=test&pswd=test b.http://zsk.example/index.php? next=info.php&user=test&pswd=test aとbは[page]と[next]パラメーターが異なるため、⼀般的 にはそれぞれ独⽴した診断リクエストとして数えます。
1. クエリー⽂字列 例2 c.http://zsk.example/index.php? page=info.php&user=test&pswd=test d.http://zsk.example/index.php? user=test&pswd=test&page=info.php cとdは⼀⾒異なるパラメーター群に⾒えますが、並び順が異 なるだけで含まれているパラメーターは同⼀なため、ひとつ の診断リクエストとして数えます。
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
2. HTTPリクエストボディ 画⾯上のフォーム POST http://zsk.example/index.php?page=login.php HTTP/1.1 ... ... ... username=test&password=test&login-php-submit-button=Login
3. ⾮同期通信 裏でこっそりサーバーに接続して、HTMLやXML、 JSONなどを取得して画⾯上に反映したりこっそり データを保存したり。 例) • 住所⾃動⼊⼒フォーム(郵便番号で検索) • プルダウンリスト群の項⽬を⾃動変更
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
4. HTTPリクエストヘッダー 上記の[Host]や[User-Agent]、[Cookie]といったHTTPリク エストヘッダーも診断対象パラメーターです。 ただし、実際に診断するかどうかはヘッダーの種類やWebア プリケーションの仕様により異なります。 GET /index.php?page=login.php HTTP/1.1 Host: zsk.example User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja Accept-Encoding: gzip, deflateDNT: 1 Referer: http://hoge/index.php?page=home.php&popUpNotificationCode=HPH0 Cookie: showhints=0; PHPSESSID=ddor943kfutdlp0dqu73va6io3 Connection: keep-alive
4. HTTPリクエストヘッダー 例1 Cookieヘッダー n ログイン処理が存在する Cookieにセッション情報を管理するための⽂字列(セッ ションID)が含まれることが多いため診断いたします。 n ログイン処理が存在しない(検索やお問い合わせなど) Cookieが発⾏されていてもWebアプリケーション内部で 使⽤していない可能性があるため診断対象としないことが あります。
4. HTTPリクエストヘッダー 例2 User-Agentヘッダー サーバーへのアクセスがどのようなブラウザからであるかを 識別するために当ヘッダーを使⽤することがあります。識別 した結果、画⾯のレイアウトやメニュー構成などが変化する 場合は診断対象となります。 識別対象の例 • パソコン • スマートフォン • フィーチャーフォン(ガラケー)
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
5. URLの⼀部がパラメーター ユーザーの詳細情報を表⽰するためのURLの例です。 URLの⼀部に含まれている「123456」がユーザーIDを⽰しています。 そのため、この数字をパラメーターとみなして診断します。 敢えてクエリー⽂字列で表すと下記のような感じです。 http://zsk.example/user/detail/123456/ http://zsk.example/user/detail.php?id=123456
5. URLの⼀部がパラメーター 例1 aとbは、URLとしては異なりますが、ユーザーIDが異なるだけでWeb アプリケーション内部では同⼀の処理と推測されるため、ひとつの診 断リクエストとして数えます。 ただし、リクエストの結果、⼤幅にメニュー構成やレイアウトなどが 異なる画⾯が表⽰される場合は、別の診断リクエストと⾒なす場合が あります。 a. http://zsk.example/user/123456/detail/ b. http://zsk.example/user/987654/detail/
5. URLの⼀部がパラメーター 例2 cとdでは、[〜user/123456/]までは同⼀のURLですが、その後に続く URLが異なるため、それぞれ別の診断リクエストとして数えます。 c. http://zsk.example/user/123456/detail/ d. http://zsk.example/user/123456/edit/
診断リクエストとパラメーター数の関係 作業⼯数やサービス価格の⾒積りのために 仮に下記のように定義します。 1 診断リクエスト ✕ 5基本パラメーター → 1.00 基本診断ユニット 【ご注意】 上記のパラメーター数は本セミナー⽤に定義した仮の数値です。 弊社および私⾃⾝が実際にこの数値に基いて⾒積もりしているわけではありません。 また、診断対象Webアプリケーションの性質により基本パラメーター数は変動します。
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 5基本パラメーター → 1.00 基本診断 上記の定義での算出例 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断 仮に1診断リクエストの単価が10,000円で診断⼯数が1⽇とすると、3診断リクエストの 場合は「30,000円・3⽇」となるはずですが、実際の⾒積りは「40,000円・4⽇」とな ります。 お客様からすると「3画⾯なのに4画⾯分の料⾦と⼯数ってどういうこと!?」と不信に思 われるかもしれませんが、決してボッタクリではありません!
次回予告 診断前の準備について • 診断⽤環境 • 実稼働環境 • 検証⽤環境 • 事前準備 • 事前の申請が必要かどうか(AWS、Azureなど) • 診断⽤データ • ユーザーアカウント(権限別に複数必要) • サイト上で閲覧および更新するデータ
お問い合わせ先 株式会社トレードワークス セキュリティ事業部 https://security.tworks.co.jp/ メールアドレス • セキュリティ事業部 <sec-pit@tworks.co.jp> • 松本 隆則 <t.matsumoto@tworks.co.jp>

Empfohlen

今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
 
Proxy War
Proxy WarProxy War
Proxy War
zaki4649
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
 
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
 

Empfohlen

今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
 
Proxy War
Proxy WarProxy War
Proxy War
zaki4649
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
 
初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法初心者向けCTFのWeb分野の強化法
初心者向けCTFのWeb分野の強化法
kazkiti
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
zaki4649
 
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato KinugawaCODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
sonickun
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
MITSUNARI Shigeo
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
 
Nmapの真実
Nmapの真実Nmapの真実
Nmapの真実
abend_cve_9999_0001
 
スマートフォンゲームのチート事情
スマートフォンゲームのチート事情スマートフォンゲームのチート事情
スマートフォンゲームのチート事情
直生 亀山
 
体系的に学ばないXSSの話
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
 
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみたセキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
LINE Corporation
 
リスクベースポートフォリオの高次モーメントへの拡張
リスクベースポートフォリオの高次モーメントへの拡張リスクベースポートフォリオの高次モーメントへの拡張
リスクベースポートフォリオの高次モーメントへの拡張
Kei Nakagawa
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
 
人それぞれの競プロとの向き合い方
人それぞれの競プロとの向き合い方人それぞれの競プロとの向き合い方
人それぞれの競プロとの向き合い方
Kensuke Otsuki
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
 
エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得
Reimi Kuramochi Chiba
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
 

Weitere ähnliche Inhalte

Was ist angesagt?

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
 
体系的に学ばないXSSの話
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
 
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみたセキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
LINE Corporation
 
エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得
Reimi Kuramochi Chiba
 

Was ist angesagt? (20)

とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato KinugawaCODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
 
RSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjpRSA暗号運用でやってはいけない n のこと #ssmjp
RSA暗号運用でやってはいけない n のこと #ssmjp
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみ
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 
クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術クラウドを支えるこれからの暗号技術
クラウドを支えるこれからの暗号技術
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
 
Nmapの真実
Nmapの真実Nmapの真実
Nmapの真実
 
スマートフォンゲームのチート事情
スマートフォンゲームのチート事情スマートフォンゲームのチート事情
スマートフォンゲームのチート事情
 
体系的に学ばないXSSの話
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話
 
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみたセキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた
 
リスクベースポートフォリオの高次モーメントへの拡張
リスクベースポートフォリオの高次モーメントへの拡張リスクベースポートフォリオの高次モーメントへの拡張
リスクベースポートフォリオの高次モーメントへの拡張
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
 
人それぞれの競プロとの向き合い方
人それぞれの競プロとの向き合い方人それぞれの競プロとの向き合い方
人それぞれの競プロとの向き合い方
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 
エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得エンジニアから飛んでくるマサカリを受け止める心得
エンジニアから飛んでくるマサカリを受け止める心得
 

Andere mochten auch

Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
amiable_indian
 

Andere mochten auch (20)

脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
 
Nigerian design and digital marketing agency
Nigerian design and digital marketing agencyNigerian design and digital marketing agency
Nigerian design and digital marketing agency
 
Samsung mobile root
Samsung mobile rootSamsung mobile root
Samsung mobile root
 
Intro to linux performance analysis
Intro to linux performance analysisIntro to linux performance analysis
Intro to linux performance analysis
 
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and FutureMachine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
 
History of L0phtCrack
History of L0phtCrackHistory of L0phtCrack
History of L0phtCrack
 
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact ReportVideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
 
Dangerous google dorks
Dangerous google dorksDangerous google dorks
Dangerous google dorks
 
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
 
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
 
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav BishtHacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
 
Learning sed and awk
Learning sed and awkLearning sed and awk
Learning sed and awk
 
Nmap Basics
Nmap BasicsNmap Basics
Nmap Basics
 
Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
 

Ähnlich wie 脆弱性診断って何をどうすればいいの?(おかわり)

~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
 
セキュキャンのススメ
セキュキャンのススメセキュキャンのススメ
セキュキャンのススメ
shutingrz
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
Lumin Hacker
 
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
robotcare
 
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
Kazumi Hirose
 

Ähnlich wie 脆弱性診断って何をどうすればいいの?(おかわり) (20)

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
 
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
CNNチュートリアル
CNNチュートリアルCNNチュートリアル
CNNチュートリアル
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
セキュキャンのススメ
セキュキャンのススメセキュキャンのススメ
セキュキャンのススメ
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
 
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
 
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
 
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
 
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
 

脆弱性診断って何をどうすればいいの?(おかわり)