SlideShare une entreprise Scribd logo

とある診断員とAWS

Z
zaki4649

2016/05/17に開催したSecurity-JAWSにて登壇した時の資料です。

Technologie
1  sur  37
Télécharger pour lire hors ligne
2016/05/17 @tigerszk Amazon  Web  Services
⾃自⼰己紹介 Shun  Suzaki(洲崎  俊) ユーザ企業のセキュリティチームに所属する セキュリティエンジニア Twitter: とある診断員@tigerszk •  ISOG-‐‑‒J  WG1 •  Burp  Suite  Japan  User  Group •  OWASP  JAPAN  Promotion  Team •  IT勉強会「#ssmjp」運営メンバー I‘M A CERTAIN PENTESTER! 公開スライドなど http://www.slideshare.net/zaki4649/
脆弱性診断とは FW サーバ機器 診断環境 診断対象環境 Webアプリ NW機器 l  システムやアプリケーションの脆弱性を 洗い出し、安全性について調査するサービス scanning! × 脆弱性診断⼠士 × Internet ※図は疑似攻撃試⾏行行するブラックボックステストを⽰示しています 他にも設計書、仕様書、コンフィグファイル、ソースコードなどを分析して、 脆弱性を洗い出すホワイトボックステストなどがあります
診断の種類 OS ミドルウェア Webコンテンツ Webアプリケーション診断 ネットワーク診断 (プラットフォーム診断) Webシステム l  対象とする領領域によって実施する 診断の種類が異異なる
診断するシステムは? l 様々なシステムが診断対象となる l 近年年ではクラウド環境の診断対象が増加   当然AWSも診断対象として登場
たまにある質問 Q.AWSを診断する意味あるの? A.もちろんあります!
AWSは責任共有モデル 「責任共有モデル  –  アマゾン  ウェブ  サービス  (AWS)」より引⽤用  https:// aws.amazon.com/jp/compliance/shared-‐‑‒responsibility-‐‑‒model/
EC2などは、OSやアプリケーション のセキュリティを担保する責任は ユーザー側にあります
AWSを利利⽤用していても •  ACLの設定が適切切ではない •  ミドルウェアの設定に不不備がある •  パッチマネジメントできていない •  Webアプリケーションの作りこみが⽢甘い 脆弱性が存在
「AWS  セキュリティのベストプラクティス」 にも  テストについて書いてある 「AWS  セキュリティのベストプラクティス」より引⽤用 http://media.amazonwebservices.com/jp/wp/AWS_̲Security_̲Best_̲Practices.pdf
AWSでも脆弱性検査で 安全性をチェックをしよう!
脆弱性診断するなら l セキュリティベンダに依頼する l コストや時間がかけられないなら⾃自分で チェックするのもOK! ※以下ご参考に 「フリーでやろうぜ!セキュリティチェック!」  http:// www.slideshare.net/zaki4649/free-‐‑‒securitycheck
よし! じゃあ早速診断するか!
ちょっと待て
実はAWSでの脆弱性診断では、 いくつか抑えておくべきポイントがある
1.診断前に許可申請が必要 「侵入テスト -­‐  AWS  クラウドセキュリティ 」より引用   h'ps://aws.amazon.com/jp/security/penetra;on-­‐tes;ng/
ちなみにAWSだけではない 基本的にホスティング環境、クラウドサービスを 利利⽤用している場合には、診断事前にあらかじめ 事業者側に診断実施の許可を得ることが必要 事業者側のポリシーによっては診断⾃自体不不可な 場合もある
2.全部診断できるわけじゃない •  EC2とRDSのインスタンスのみ診断可能 •  以下のインスタンスタイプは診断不不可 RDS:スモールRDSインスタンス、マイクロRDSインスタンス EC2:m1.small、t1.micro EC2 RDS
「侵入テスト -­‐  AWS  クラウドセキュリティ 」より引用   h'ps://aws.amazon.com/jp/security/penetra;on-­‐tes;ng/
許可申請は専⽤用のフォームから AWS  脆弱性/侵⼊入テストリクエストフォーム https://portal.aws.amazon.com/gp/aws/html-‐‑‒forms-‐‑‒controller /contactus/AWSSecurityPenTestRequest
Contact  Information フォーム項⽬目 記載する内容 Your  Name:* 担当者の⽒氏名 Company  Name* 会社名 Email  Address AWSアカウントのメールアドレス Additional  Email   Address CCに追加するメールアドレス Third  Party  Contact   Information 診断を第三者の会社に委託する場合に記⼊入する 第三者の連絡先 ※は必須⼊入⼒力力項⽬目
Scan  Information フォーム項⽬目 記載する内容 IP  Addresses  to  be  scanned   (Destination)* 診断対象のIPアドレス(ELBも申請可能) Are  the  instances  the  source  of  the   scan  or  the  target  of  the  scan?* 下の項⽬目で⼊入⼒力力するEC2インスタンスが診断元なのか 診断対象かを選択 Instances  IDs* 上記の項⽬目に該当するEC2インスタンスIDを⼊入⼒力力 Scanning  IP  addresses  (Source)* 診断を⾏行行う、接続元のIPアドレスを⼊入⼒力力 Total  Bandwidth  (Please  provide   expected  Gbps)* テストで想定される秒間の転送量量(帯域幅)を⼊入⼒力力 What  region  are  these  instances  in?* EC2インスタンスがあるリージョンを選択 Timezone* 時刻のタイムゾーンを選択 Start  Date  and  Time  (YYYY-‐‑‒MM-‐‑‒DD   HH:MM)* 診断開始時刻 End  Date  and  Time  (YYYY-‐‑‒MM-‐‑‒DD   HH:MM)* 診断終了了時刻 Additional  Comments 脆弱性診断に関する特記事項などあればコメント ※⾚赤枠の項⽬目は割と最近追加された項⽬目
その他 •  以下に同意が必要(規約とかポリシー) –  Terms  and  Conditions –  AWSʼ’s  Policy  Regarding  the  Use  of  Security   Assessment  Tools  and  Services •  他注意点 –  フォームリスクエストにはroot認証が必要 –  指定できる診断期間は3ヵ⽉月以内 –  2  営業⽇日以内に、申請受理理が届く –  ⼿手続き完了了には数⽇日かかる可能性がある –  侵⼊入テスト申請の終了了時間は、延⻑⾧長を考えて余裕を もっておいた⽅方がいいでしょう
参考サイト •  Amazon  EC2への侵⼊入テスト申請について  |   Developers.IO  :  http://dev.classmethod.jp/ cloud/aws/penetration-‐‑‒testing/ •  AWSでの侵⼊入テスト(Penetration  Test)につい て  |  cloudpack技術情報サイト  :  https:// blog.cloudpack.jp/2015/01/22/about-‐‑‒aws-‐‑‒ penetration-‐‑‒test/
みんなが幸せになるために ルールをちゃんと守ってね!
でも実際に現場でよくある話 l 申請フォーム?なにそれ?おいしいの? l 明⽇日から診断だけど許可申請するの忘れちゃった! てへぺろ(・ω<) l 地雷雷(S3とか診断できないものが)がしれっと 診断対象リストに混⼊入 l CloudFront経由で診断4649ね! ・・・etc
円滑滑に進めるための対策 l ⼤大切切なことを事前に丁寧に説明 l AWSの構成などを事前にヒアリング l 申請許可のメールをエビデンスとして、 必ず確認してから診断を実施
ちょっとした⼩小ネタ
AWSを診断する時の 厄介な相⼿手それは…
Elastic  Load  Balancing  
ELBとは   l ロードバランサーのクラウドサービス l トラフィックを複数のインスタンスに分 散するヘルスチェック機能を持っている l ELB⾃自体がトラフィックに応じてスケール l 暗号化・復復号(SSL)機能を利利⽤用できる
l グローバルIPがコロコロ変化する l 固定IPを設定することはできない l いつIPが変更更されるかわからない この仕様が問題
この仕様、実は診断⼠士にはツラい… l そもそもNW診断とかはIPベースで診断を 実施するのが⼀一般的 l ドメイン指定での診断も可能だが、検査 ツールはポートスキャン都度度などに毎回 正引きなどはしない
ていうかヤバい… l もし診断の最中にIPが切切り替わって、 診断パケットが別の環境に⾶飛んでいく 可能性が  ((((;゚Д゚))))ガクガクブルブル l もしかして関係ない⼈人宛に診断(=攻撃)しちゃう んじゃない?それはマジでヤバい!! ※勉強会の質疑の時に、中の⽅方より、「ELBで引い たIPは、仕様として最低60分は他のIPに紐紐付け られることがない」というお話を伺いました! すぐに別の環境にパケットが流流れることはない ようです。ちょっと安⼼心しました。
参考サイト l ozumaの⽇日記  :AWSのELB(Elastic  Load   Balancing)は、セキュリティ的に問題ないのか   http://srad.jp/~∼ozuma/journal/591374/
というわけで現場でやってる対策 l 診断中には、常に⼀一定間隔にて正引きを ⾏行行いIPが切切り替わらないか常に監視 l IPが切切り替わったタイミングで、診断を 中断     もっとスマートな⽅方法があれば 是⾮非教えてください!
まとめ l ポイントを押さえて、適切切に脆弱性診断を 実施し、セキュリティ向上に役⽴立立てよう! l もちろん診断やるだけじゃなくて 検出した脆弱性に対する対策も必要です。

Recommandé

最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
 
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
 

Recommandé

最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
 
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
 
Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!Bapp Storeを調べてみたよ!
Bapp Storeを調べてみたよ!
zaki4649
 
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
pospome
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
泰 増田
 
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
Shohei Koyama
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
PostgreSQLアンチパターン
PostgreSQLアンチパターンPostgreSQLアンチパターン
PostgreSQLアンチパターン
Soudai Sone
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
Daichi Koike
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
 
君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?
Teppei Sato
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門
土岐 孝平
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
 
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話
Takuto Wada
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
zaki4649
 
クラウドセキュリティFAQ セキュリティ対策を分解して考える
クラウドセキュリティFAQ セキュリティ対策を分解して考えるクラウドセキュリティFAQ セキュリティ対策を分解して考える
クラウドセキュリティFAQ セキュリティ対策を分解して考える
koki abe
 

Contenu connexe

Tendances

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
 

Tendances (20)

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
 
REST API のコツ
REST API のコツREST API のコツ
REST API のコツ
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
 
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
 
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
 
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
 
インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方インフラエンジニアの綺麗で優しい手順書の書き方
インフラエンジニアの綺麗で優しい手順書の書き方
 
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
 
PostgreSQLアンチパターン
PostgreSQLアンチパターンPostgreSQLアンチパターン
PostgreSQLアンチパターン
 
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説するウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
 
バグハンターの哀しみ
バグハンターの哀しみバグハンターの哀しみ
バグハンターの哀しみ
 
君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?君はyarn.lockをコミットしているか?
君はyarn.lockをコミットしているか?
 
OpenID Connect入門
OpenID Connect入門OpenID Connect入門
OpenID Connect入門
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
 
RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話RESTful Web アプリの設計レビューの話
RESTful Web アプリの設計レビューの話
 

En vedette

En vedette (7)

最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
 
クラウドセキュリティFAQ セキュリティ対策を分解して考える
クラウドセキュリティFAQ セキュリティ対策を分解して考えるクラウドセキュリティFAQ セキュリティ対策を分解して考える
クラウドセキュリティFAQ セキュリティ対策を分解して考える
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
CIの見える化でここまで効率が変わった ~Raspberry Piを使ったLEDソリューション製作記~
CIの見える化でここまで効率が変わった ~Raspberry Piを使ったLEDソリューション製作記~CIの見える化でここまで効率が変わった ~Raspberry Piを使ったLEDソリューション製作記~
CIの見える化でここまで効率が変わった ~Raspberry Piを使ったLEDソリューション製作記~
 
iOSアプリの自動テストをはじめよう
iOSアプリの自動テストをはじめようiOSアプリの自動テストをはじめよう
iOSアプリの自動テストをはじめよう
 
あらゆるイベントを可視化する! RaspberryPiで作るLED警告灯ソリューション
あらゆるイベントを可視化する! RaspberryPiで作るLED警告灯ソリューションあらゆるイベントを可視化する! RaspberryPiで作るLED警告灯ソリューション
あらゆるイベントを可視化する! RaspberryPiで作るLED警告灯ソリューション
 
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
 

Similaire à とある診断員とAWS

Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Masafumi Oe
 
Aws summits2014 エンタープライズ向けawsbcpdr編
Aws summits2014 エンタープライズ向けawsbcpdr編Aws summits2014 エンタープライズ向けawsbcpdr編
Aws summits2014 エンタープライズ向けawsbcpdr編
Boss4434
 

Similaire à とある診断員とAWS (20)

脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
 
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
セキュリティオペレーション: みんなどんなのつかってるの? @ JANOG38 沖縄
 
脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)脆弱性診断って何をどうすればいいの?(おかわり)
脆弱性診断って何をどうすればいいの?(おかわり)
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
スマホゲームのチート手法とその対策 [DeNA TechCon 2019]
 
ICSE2014参加報告 (SE勉強会 6/12)
ICSE2014参加報告 (SE勉強会 6/12)ICSE2014参加報告 (SE勉強会 6/12)
ICSE2014参加報告 (SE勉強会 6/12)
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
20181106_Comparison_Between_JAWS-UG_and_SSMJP_Community_Management
 
Aws summits2014 エンタープライズ向けawsbcpdr編
Aws summits2014 エンタープライズ向けawsbcpdr編Aws summits2014 エンタープライズ向けawsbcpdr編
Aws summits2014 エンタープライズ向けawsbcpdr編
 

Plus de zaki4649

Plus de zaki4649 (6)

flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
 
BurpSuiteの大変な一日
BurpSuiteの大変な一日BurpSuiteの大変な一日
BurpSuiteの大変な一日
 
Proxy War EPISODEⅡ
Proxy War EPISODEⅡProxy War EPISODEⅡ
Proxy War EPISODEⅡ
 
Proxy War
Proxy WarProxy War
Proxy War
 
とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選とある診断員のSECCONオンライン予選
とある診断員のSECCONオンライン予選
 
はじめてのWi-Fiクラック
はじめてのWi-FiクラックはじめてのWi-Fiクラック
はじめてのWi-Fiクラック
 

Dernier

Dernier (10)

論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 

とある診断員とAWS