Soumettre la recherche
Mettre en ligne
脆弱性診断って何をどうすればいいの?(おかわり)
•
3 j'aime
•
1,998 vues
脆弱性診断研究会
Suivre
脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。
Lire moins
Lire la suite
Internet
Signaler
Partager
Signaler
Partager
1 sur 32
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例
Takashi Fujiwara
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
CODE BLUE
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
Yuichiro KATO
【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例
UnityTechnologiesJapan002
大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリア
Takayuki Itoh
LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)
Yasuharu Nishi
MVV1
MVV1
Masa Tadokoro
Recommandé
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例
Takashi Fujiwara
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
CODE BLUE
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
Yuichiro KATO
【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例
UnityTechnologiesJapan002
大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリア
Takayuki Itoh
LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)
Yasuharu Nishi
MVV1
MVV1
Masa Tadokoro
「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門
yokomitsuken5
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処
SR WS
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-
Shiga University, RIKEN
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
Akira Ikeda
自己PRプレゼンテーション
自己PRプレゼンテーション
麻実 内原
Software Frontloading and QA
Software Frontloading and QA
Yasuharu Nishi
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう
scarletplover
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
Tokoroten Nakayama
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment.
Kiyoshi Ogawa
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
abend_cve_9999_0001
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
michiaki ito
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
Yahoo!デベロッパーネットワーク
画像認識のための深層学習
画像認識のための深層学習
Saya Katafuchi
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversion
Yuki Saito
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1
Hideki Hasegawa
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULL Co., Ltd.
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
Kei Nakagawa
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホント
Yasuharu Nishi
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析
scarletplover
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
Contenu connexe
Tendances
「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門
yokomitsuken5
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処
SR WS
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-
Shiga University, RIKEN
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
Akira Ikeda
自己PRプレゼンテーション
自己PRプレゼンテーション
麻実 内原
Software Frontloading and QA
Software Frontloading and QA
Yasuharu Nishi
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう
scarletplover
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
Tokoroten Nakayama
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment.
Kiyoshi Ogawa
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
abend_cve_9999_0001
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
michiaki ito
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
Yahoo!デベロッパーネットワーク
画像認識のための深層学習
画像認識のための深層学習
Saya Katafuchi
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversion
Yuki Saito
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1
Hideki Hasegawa
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULL Co., Ltd.
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
Kei Nakagawa
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホント
Yasuharu Nishi
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析
scarletplover
Tendances
(20)
「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
自己PRプレゼンテーション
自己PRプレゼンテーション
Software Frontloading and QA
Software Frontloading and QA
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment.
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
画像認識のための深層学習
画像認識のための深層学習
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversion
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホント
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析
En vedette
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
Nigerian design and digital marketing agency
Nigerian design and digital marketing agency
Samson Aligba
Samsung mobile root
Samsung mobile root
Black Peacocks
Intro to linux performance analysis
Intro to linux performance analysis
Chris McEniry
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
Data Science London
History of L0phtCrack
History of L0phtCrack
cwysopal
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
Aziz Sasmaz
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Falgun Rathod
Dangerous google dorks
Dangerous google dorks
Witgie Solutions
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
n|u - The Open Security Community
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Giovanni Marco Dall'Olio
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Ravi Rajput
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
Raghav Bisht
Learning sed and awk
Learning sed and awk
Yogesh Sawant
En vedette
(20)
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Nigerian design and digital marketing agency
Nigerian design and digital marketing agency
Samsung mobile root
Samsung mobile root
Intro to linux performance analysis
Intro to linux performance analysis
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
History of L0phtCrack
History of L0phtCrack
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Dangerous google dorks
Dangerous google dorks
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
Learning sed and awk
Learning sed and awk
Similaire à 脆弱性診断って何をどうすればいいの?(おかわり)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
CNNチュートリアル
CNNチュートリアル
Ikuro Sato
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
マジセミ by (株)オープンソース活用研究所
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
セキュキャンのススメ
セキュキャンのススメ
shutingrz
とある診断員とAWS
とある診断員とAWS
zaki4649
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
Shun Tsunoda
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
Lumin Hacker
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
robotcare
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
Kazumi Hirose
Similaire à 脆弱性診断って何をどうすればいいの?(おかわり)
(20)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Mix Leap 0214 security
Mix Leap 0214 security
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
CNNチュートリアル
CNNチュートリアル
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
セキュキャンのススメ
セキュキャンのススメ
とある診断員とAWS
とある診断員とAWS
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
脆弱性診断って何をどうすればいいの?(おかわり)
1.
第35回 脆弱性診断ええんやで(^^) 「脆弱性診断って何をどうすればいいの?」 (おかわり) 脆弱性診断研究会 株式会社トレードワークス セキュリティ事業部
2.
Agenda u 脆弱性診断研究会とは u ⾃⼰紹介 u
OWASPって何? u 診断対象⾒積りの考え⽅ u 質疑応答
3.
脆弱性診断研究会とは 株式会社トレードワークスのセキュリティ事業部にて運営 Webアプリケーションやネットワーク機器などに対するセキュリティ診断 の最新⼿法や診断ツール使⽤法の勉強や研究をするためのコミュニティ コワーキングスペース茅場町 Co-Edo(コエド)様にて第1回セミナーを 2014年8⽉に開催して以来、2016年1⽉現在で31回のパブリックセミナー を実施 クライアント向けプライベートセミナーは年に数回実施
4.
⾃⼰紹介 松本 隆則 (まつもと
たかのり) u 株式会社トレードワークス セキュリティ事業部 https://security.twroks.co.jp/ u Facebook https://www.facebook.com/nilfigo u Twitter https://twitter.com/DYOH2017
5.
⾃⼰紹介 u 脆弱性診断研究会 管理⼈・セミナー講師 Ø
Facebook 公開グループ https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/ Ø Facebookコミュニティ https://www.facebook.com/sec.testing.study.session/ Ø セミナー・イベント管理サイト https://security-testing.doorkeeper.jp/ http://security-testing.connpass.com/
6.
⾃⼰紹介 u OWASP JAPAN
プロモーションチーム(new!) Ø https://www.owasp.org/index.php/Japan Ø http://blog.owaspjapan.org/
7.
OWASPって何? The Open Web
Application Security Project Let's know OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 ⼯程別活⽤可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き⽅ https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th
8.
診断対象⾒積りの考え⽅ ⾼いのか安いのかわからん と評判の脆弱性診断のサー ビス価格の根拠ってなに?
9.
診断対象⾒積りの考え⽅ ⾒積りする前に、ある程度 脆弱性診断の仕組みを把握 しておけばイロイロ捗る!
10.
診断対象⾒積りの考え⽅ サービス価格⾒積り根拠の ⼀つである診断対象数の数 え⽅が今回のテーマです。
11.
診断対象⾒積りの考え⽅ 「診断リクエスト」 ↓ パラメーターを伴うリクエスト
12.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
13.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
14.
1. クエリー⽂字列 http://zsk.example/index.php?user=test&pswd=t est 診断対象パラメーター • user •
pswd
15.
1. クエリー⽂字列 例1 a.http://zsk.example/index.php? page=info.php&user=test&pswd=test b.http://zsk.example/index.php? next=info.php&user=test&pswd=test aとbは[page]と[next]パラメーターが異なるため、⼀般的 にはそれぞれ独⽴した診断リクエストとして数えます。
16.
1. クエリー⽂字列 例2 c.http://zsk.example/index.php? page=info.php&user=test&pswd=test d.http://zsk.example/index.php? user=test&pswd=test&page=info.php cとdは⼀⾒異なるパラメーター群に⾒えますが、並び順が異 なるだけで含まれているパラメーターは同⼀なため、ひとつ の診断リクエストとして数えます。
17.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
18.
2. HTTPリクエストボディ 画⾯上のフォーム POST http://zsk.example/index.php?page=login.php
HTTP/1.1 ... ... ... username=test&password=test&login-php-submit-button=Login
19.
3. ⾮同期通信 裏でこっそりサーバーに接続して、HTMLやXML、 JSONなどを取得して画⾯上に反映したりこっそり データを保存したり。 例) • 住所⾃動⼊⼒フォーム(郵便番号で検索) •
プルダウンリスト群の項⽬を⾃動変更
20.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
21.
4. HTTPリクエストヘッダー 上記の[Host]や[User-Agent]、[Cookie]といったHTTPリク エストヘッダーも診断対象パラメーターです。 ただし、実際に診断するかどうかはヘッダーの種類やWebア プリケーションの仕様により異なります。 GET /index.php?page=login.php
HTTP/1.1 Host: zsk.example User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja Accept-Encoding: gzip, deflateDNT: 1 Referer: http://hoge/index.php?page=home.php&popUpNotificationCode=HPH0 Cookie: showhints=0; PHPSESSID=ddor943kfutdlp0dqu73va6io3 Connection: keep-alive
22.
4. HTTPリクエストヘッダー 例1 Cookieヘッダー n
ログイン処理が存在する Cookieにセッション情報を管理するための⽂字列(セッ ションID)が含まれることが多いため診断いたします。 n ログイン処理が存在しない(検索やお問い合わせなど) Cookieが発⾏されていてもWebアプリケーション内部で 使⽤していない可能性があるため診断対象としないことが あります。
23.
4. HTTPリクエストヘッダー 例2 User-Agentヘッダー サーバーへのアクセスがどのようなブラウザからであるかを 識別するために当ヘッダーを使⽤することがあります。識別 した結果、画⾯のレイアウトやメニュー構成などが変化する 場合は診断対象となります。 識別対象の例 •
パソコン • スマートフォン • フィーチャーフォン(ガラケー)
24.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
25.
5. URLの⼀部がパラメーター ユーザーの詳細情報を表⽰するためのURLの例です。 URLの⼀部に含まれている「123456」がユーザーIDを⽰しています。 そのため、この数字をパラメーターとみなして診断します。 敢えてクエリー⽂字列で表すと下記のような感じです。 http://zsk.example/user/detail/123456/ http://zsk.example/user/detail.php?id=123456
26.
5. URLの⼀部がパラメーター 例1 aとbは、URLとしては異なりますが、ユーザーIDが異なるだけでWeb アプリケーション内部では同⼀の処理と推測されるため、ひとつの診 断リクエストとして数えます。 ただし、リクエストの結果、⼤幅にメニュー構成やレイアウトなどが 異なる画⾯が表⽰される場合は、別の診断リクエストと⾒なす場合が あります。 a.
http://zsk.example/user/123456/detail/ b. http://zsk.example/user/987654/detail/
27.
5. URLの⼀部がパラメーター 例2 cとdでは、[〜user/123456/]までは同⼀のURLですが、その後に続く URLが異なるため、それぞれ別の診断リクエストとして数えます。 c.
http://zsk.example/user/123456/detail/ d. http://zsk.example/user/123456/edit/
28.
診断リクエストとパラメーター数の関係 作業⼯数やサービス価格の⾒積りのために 仮に下記のように定義します。 1 診断リクエスト ✕
5基本パラメーター → 1.00 基本診断ユニット 【ご注意】 上記のパラメーター数は本セミナー⽤に定義した仮の数値です。 弊社および私⾃⾝が実際にこの数値に基いて⾒積もりしているわけではありません。 また、診断対象Webアプリケーションの性質により基本パラメーター数は変動します。
29.
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 5基本パラメーター
→ 1.00 基本診断 上記の定義での算出例 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断
30.
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 3パラメーター
→ 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断 仮に1診断リクエストの単価が10,000円で診断⼯数が1⽇とすると、3診断リクエストの 場合は「30,000円・3⽇」となるはずですが、実際の⾒積りは「40,000円・4⽇」とな ります。 お客様からすると「3画⾯なのに4画⾯分の料⾦と⼯数ってどういうこと!?」と不信に思 われるかもしれませんが、決してボッタクリではありません!
31.
次回予告 診断前の準備について • 診断⽤環境 • 実稼働環境 •
検証⽤環境 • 事前準備 • 事前の申請が必要かどうか(AWS、Azureなど) • 診断⽤データ • ユーザーアカウント(権限別に複数必要) • サイト上で閲覧および更新するデータ
32.
お問い合わせ先 株式会社トレードワークス セキュリティ事業部 https://security.tworks.co.jp/ メールアドレス • セキュリティ事業部
<sec-pit@tworks.co.jp> • 松本 隆則 <t.matsumoto@tworks.co.jp>
Télécharger maintenant