SlideShare une entreprise Scribd logo

脆弱性診断って何をどうすればいいの?(おかわり)

脆弱性診断研究会
脆弱性診断研究会

脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。

Internet
1  sur  32
Télécharger pour lire hors ligne
第35回 脆弱性診断ええんやで(^^) 「脆弱性診断って何をどうすればいいの?」 (おかわり) 脆弱性診断研究会 株式会社トレードワークス セキュリティ事業部
Agenda u 脆弱性診断研究会とは u ⾃⼰紹介 u OWASPって何? u 診断対象⾒積りの考え⽅ u 質疑応答
脆弱性診断研究会とは 株式会社トレードワークスのセキュリティ事業部にて運営 Webアプリケーションやネットワーク機器などに対するセキュリティ診断 の最新⼿法や診断ツール使⽤法の勉強や研究をするためのコミュニティ コワーキングスペース茅場町 Co-Edo(コエド)様にて第1回セミナーを 2014年8⽉に開催して以来、2016年1⽉現在で31回のパブリックセミナー を実施 クライアント向けプライベートセミナーは年に数回実施
⾃⼰紹介 松本 隆則 (まつもと たかのり) u 株式会社トレードワークス セキュリティ事業部 https://security.twroks.co.jp/ u Facebook https://www.facebook.com/nilfigo u Twitter https://twitter.com/DYOH2017
⾃⼰紹介 u 脆弱性診断研究会 管理⼈・セミナー講師 Ø Facebook 公開グループ https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/ Ø Facebookコミュニティ https://www.facebook.com/sec.testing.study.session/ Ø セミナー・イベント管理サイト https://security-testing.doorkeeper.jp/ http://security-testing.connpass.com/
⾃⼰紹介 u OWASP JAPAN プロモーションチーム(new!) Ø https://www.owasp.org/index.php/Japan Ø http://blog.owaspjapan.org/
OWASPって何? The Open Web Application Security Project Let's know OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 ⼯程別活⽤可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き⽅ https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th
診断対象⾒積りの考え⽅ ⾼いのか安いのかわからん と評判の脆弱性診断のサー ビス価格の根拠ってなに?
診断対象⾒積りの考え⽅ ⾒積りする前に、ある程度 脆弱性診断の仕組みを把握 しておけばイロイロ捗る!
診断対象⾒積りの考え⽅ サービス価格⾒積り根拠の ⼀つである診断対象数の数 え⽅が今回のテーマです。
診断対象⾒積りの考え⽅ 「診断リクエスト」 ↓ パラメーターを伴うリクエスト
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
1. クエリー⽂字列 http://zsk.example/index.php?user=test&pswd=t est 診断対象パラメーター • user • pswd
1. クエリー⽂字列 例1 a.http://zsk.example/index.php? page=info.php&user=test&pswd=test b.http://zsk.example/index.php? next=info.php&user=test&pswd=test aとbは[page]と[next]パラメーターが異なるため、⼀般的 にはそれぞれ独⽴した診断リクエストとして数えます。
1. クエリー⽂字列 例2 c.http://zsk.example/index.php? page=info.php&user=test&pswd=test d.http://zsk.example/index.php? user=test&pswd=test&page=info.php cとdは⼀⾒異なるパラメーター群に⾒えますが、並び順が異 なるだけで含まれているパラメーターは同⼀なため、ひとつ の診断リクエストとして数えます。
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
2. HTTPリクエストボディ 画⾯上のフォーム POST http://zsk.example/index.php?page=login.php HTTP/1.1 ... ... ... username=test&password=test&login-php-submit-button=Login
3. ⾮同期通信 裏でこっそりサーバーに接続して、HTMLやXML、 JSONなどを取得して画⾯上に反映したりこっそり データを保存したり。 例) • 住所⾃動⼊⼒フォーム(郵便番号で検索) • プルダウンリスト群の項⽬を⾃動変更
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
4. HTTPリクエストヘッダー 上記の[Host]や[User-Agent]、[Cookie]といったHTTPリク エストヘッダーも診断対象パラメーターです。 ただし、実際に診断するかどうかはヘッダーの種類やWebア プリケーションの仕様により異なります。 GET /index.php?page=login.php HTTP/1.1 Host: zsk.example User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja Accept-Encoding: gzip, deflateDNT: 1 Referer: http://hoge/index.php?page=home.php&popUpNotificationCode=HPH0 Cookie: showhints=0; PHPSESSID=ddor943kfutdlp0dqu73va6io3 Connection: keep-alive
4. HTTPリクエストヘッダー 例1 Cookieヘッダー n ログイン処理が存在する Cookieにセッション情報を管理するための⽂字列(セッ ションID)が含まれることが多いため診断いたします。 n ログイン処理が存在しない(検索やお問い合わせなど) Cookieが発⾏されていてもWebアプリケーション内部で 使⽤していない可能性があるため診断対象としないことが あります。
4. HTTPリクエストヘッダー 例2 User-Agentヘッダー サーバーへのアクセスがどのようなブラウザからであるかを 識別するために当ヘッダーを使⽤することがあります。識別 した結果、画⾯のレイアウトやメニュー構成などが変化する 場合は診断対象となります。 識別対象の例 • パソコン • スマートフォン • フィーチャーフォン(ガラケー)
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2. HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
5. URLの⼀部がパラメーター ユーザーの詳細情報を表⽰するためのURLの例です。 URLの⼀部に含まれている「123456」がユーザーIDを⽰しています。 そのため、この数字をパラメーターとみなして診断します。 敢えてクエリー⽂字列で表すと下記のような感じです。 http://zsk.example/user/detail/123456/ http://zsk.example/user/detail.php?id=123456
5. URLの⼀部がパラメーター 例1 aとbは、URLとしては異なりますが、ユーザーIDが異なるだけでWeb アプリケーション内部では同⼀の処理と推測されるため、ひとつの診 断リクエストとして数えます。 ただし、リクエストの結果、⼤幅にメニュー構成やレイアウトなどが 異なる画⾯が表⽰される場合は、別の診断リクエストと⾒なす場合が あります。 a. http://zsk.example/user/123456/detail/ b. http://zsk.example/user/987654/detail/
5. URLの⼀部がパラメーター 例2 cとdでは、[〜user/123456/]までは同⼀のURLですが、その後に続く URLが異なるため、それぞれ別の診断リクエストとして数えます。 c. http://zsk.example/user/123456/detail/ d. http://zsk.example/user/123456/edit/
診断リクエストとパラメーター数の関係 作業⼯数やサービス価格の⾒積りのために 仮に下記のように定義します。 1 診断リクエスト ✕ 5基本パラメーター → 1.00 基本診断ユニット 【ご注意】 上記のパラメーター数は本セミナー⽤に定義した仮の数値です。 弊社および私⾃⾝が実際にこの数値に基いて⾒積もりしているわけではありません。 また、診断対象Webアプリケーションの性質により基本パラメーター数は変動します。
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 5基本パラメーター → 1.00 基本診断 上記の定義での算出例 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断 仮に1診断リクエストの単価が10,000円で診断⼯数が1⽇とすると、3診断リクエストの 場合は「30,000円・3⽇」となるはずですが、実際の⾒積りは「40,000円・4⽇」とな ります。 お客様からすると「3画⾯なのに4画⾯分の料⾦と⼯数ってどういうこと!?」と不信に思 われるかもしれませんが、決してボッタクリではありません!
次回予告 診断前の準備について • 診断⽤環境 • 実稼働環境 • 検証⽤環境 • 事前準備 • 事前の申請が必要かどうか(AWS、Azureなど) • 診断⽤データ • ユーザーアカウント(権限別に複数必要) • サイト上で閲覧および更新するデータ
お問い合わせ先 株式会社トレードワークス セキュリティ事業部 https://security.tworks.co.jp/ メールアドレス • セキュリティ事業部 <sec-pit@tworks.co.jp> • 松本 隆則 <t.matsumoto@tworks.co.jp>

Recommandé

ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例Takashi Fujiwara
 
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015CODE BLUE
 
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営Yuichiro KATO
 
【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例UnityTechnologiesJapan002
 
大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリア大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリアTakayuki Itoh
 
LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)Yasuharu Nishi
 
MVV1
MVV1MVV1
MVV1Masa Tadokoro
 

Recommandé

ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2tobaru_yuta
 
診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例診断研究メタアナリシス報告事例
診断研究メタアナリシス報告事例Takashi Fujiwara
 
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015
現実世界での機械学習によるアノマリ検知システムの構築と回避 by Clarence Chio - CODE BLUE 2015CODE BLUE
 
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営
BM活動:ビジネスモデルで先行し,現場力の勝負に持ち込む新たな全員参加型経営Yuichiro KATO
 
【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例【Unity道場 自動車編】HMIにおけるUnity活用事例
【Unity道場 自動車編】HMIにおけるUnity活用事例UnityTechnologiesJapan002
 
大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリア大学院進学が切り拓く情報系学生のキャリア
大学院進学が切り拓く情報系学生のキャリアTakayuki Itoh
 
LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)LINE Developer Meetup in Tokyo #39 Presentation (modified)
LINE Developer Meetup in Tokyo #39 Presentation (modified)Yasuharu Nishi
 
MVV1
MVV1MVV1
MVV1Masa Tadokoro
 
「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門yokomitsuken5
 
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処SR WS
 
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-Shiga University, RIKEN
 
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しようテスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しようAkira Ikeda
 
自己PRプレゼンテーション
自己PRプレゼンテーション自己PRプレゼンテーション
自己PRプレゼンテーション麻実 内原
 
Software Frontloading and QA
Software Frontloading and QASoftware Frontloading and QA
Software Frontloading and QAYasuharu Nishi
 
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろうscarletplover
 
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business Tokoroten Nakayama
 
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment. HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment. Kiyoshi Ogawa
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよMasakazu Ikeda
 
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編abend_cve_9999_0001
 
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門機械学習を用いた異常検知入門
機械学習を用いた異常検知入門michiaki ito
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3までYahoo!デベロッパーネットワーク
 
画像認識のための深層学習
画像認識のための深層学習画像認識のための深層学習
画像認識のための深層学習Saya Katafuchi
 
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversionNeural text-to-speech and voice conversion
Neural text-to-speech and voice conversionYuki Saito
 
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1Hideki Hasegawa
 
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっているLIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっているLIFULL Co., Ltd.
 
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)Kei Nakagawa
 
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホントソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホントYasuharu Nishi
 
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析scarletplover
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 

Contenu connexe

Tendances

「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門yokomitsuken5
 
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処SR WS
 
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-Shiga University, RIKEN
 
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しようテスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しようAkira Ikeda
 
自己PRプレゼンテーション
自己PRプレゼンテーション自己PRプレゼンテーション
自己PRプレゼンテーション麻実 内原
 
Software Frontloading and QA
Software Frontloading and QASoftware Frontloading and QA
Software Frontloading and QAYasuharu Nishi
 
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろうscarletplover
 
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business Tokoroten Nakayama
 
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment. HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment. Kiyoshi Ogawa
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよMasakazu Ikeda
 
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編abend_cve_9999_0001
 
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門機械学習を用いた異常検知入門
機械学習を用いた異常検知入門michiaki ito
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3までYahoo!デベロッパーネットワーク
 
画像認識のための深層学習
画像認識のための深層学習画像認識のための深層学習
画像認識のための深層学習Saya Katafuchi
 
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversionNeural text-to-speech and voice conversion
Neural text-to-speech and voice conversionYuki Saito
 
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1Hideki Hasegawa
 
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっているLIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっているLIFULL Co., Ltd.
 
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)Kei Nakagawa
 
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホントソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホントYasuharu Nishi
 
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析scarletplover
 

Tendances (20)

「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門「診断精度研究のメタ分析」の入門
「診断精度研究のメタ分析」の入門
 
20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処20170202 srws第七回統合、層別・感度分析、欠測への対処
20170202 srws第七回統合、層別・感度分析、欠測への対処
 
統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-統計的因果推論への招待 -因果構造探索を中心に-
統計的因果推論への招待 -因果構造探索を中心に-
 
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しようテスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
テスト分析・設計を体感しよう ~マインドマップを活用してテスト観点を発想しよう
 
自己PRプレゼンテーション
自己PRプレゼンテーション自己PRプレゼンテーション
自己PRプレゼンテーション
 
Software Frontloading and QA
Software Frontloading and QASoftware Frontloading and QA
Software Frontloading and QA
 
幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう幅広なテスト分析ができるようになろう
幅広なテスト分析ができるようになろう
 
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
ヒューレットパッカード社の 社員の離職リスク予測 第一回機械学習ビジネス研究会 #ml_business
 
HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment. HAZOP, FMEA and FTA for risk assessment.
HAZOP, FMEA and FTA for risk assessment.
 
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
 
フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編フリーでできるセキュリティ インフラ(Nessus)編
フリーでできるセキュリティ インフラ(Nessus)編
 
機械学習を用いた異常検知入門
機械学習を用いた異常検知入門機械学習を用いた異常検知入門
機械学習を用いた異常検知入門
 
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
深層学習による自然言語処理入門: word2vecからBERT, GPT-3まで
 
画像認識のための深層学習
画像認識のための深層学習画像認識のための深層学習
画像認識のための深層学習
 
Neural text-to-speech and voice conversion
Neural text-to-speech and voice conversionNeural text-to-speech and voice conversion
Neural text-to-speech and voice conversion
 
送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1送電鉄塔をたどる V1.1
送電鉄塔をたどる V1.1
 
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっているLIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
LIFULLでは新卒エンジニアに 丸一日のテスト研修を行なっている
 
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
連続時間フラクショナル・トピックモデル(NLP2023 金融・経済ドメインのための言語処理)
 
ソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホントソフトハウスの品質保証のウソホント
ソフトハウスの品質保証のウソホント
 
わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析わりとディープ?同値分割↔境界値分析
わりとディープ?同値分割↔境界値分析
 

En vedette

脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010Sen Ueno
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501Sen Ueno
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkHiroaki Kuramochi
 
Nigerian design and digital marketing agency
Nigerian design and digital marketing agencyNigerian design and digital marketing agency
Nigerian design and digital marketing agencySamson Aligba
 
Intro to linux performance analysis
Intro to linux performance analysisIntro to linux performance analysis
Intro to linux performance analysisChris McEniry
 
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and FutureMachine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and FutureData Science London
 
History of L0phtCrack
History of L0phtCrackHistory of L0phtCrack
History of L0phtCrackcwysopal
 
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact ReportVideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact ReportAziz Sasmaz
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodFalgun Rathod
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...Giovanni Marco Dall'Olio
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Ravi Rajput
 
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav BishtHacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav BishtRaghav Bisht
 
Learning sed and awk
Learning sed and awkLearning sed and awk
Learning sed and awkYogesh Sawant
 

En vedette (20)

脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
 
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
 
Nigerian design and digital marketing agency
Nigerian design and digital marketing agencyNigerian design and digital marketing agency
Nigerian design and digital marketing agency
 
Samsung mobile root
Samsung mobile rootSamsung mobile root
Samsung mobile root
 
Intro to linux performance analysis
Intro to linux performance analysisIntro to linux performance analysis
Intro to linux performance analysis
 
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and FutureMachine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
 
History of L0phtCrack
History of L0phtCrackHistory of L0phtCrack
History of L0phtCrack
 
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact ReportVideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
 
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun RathodOpen Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
 
Dangerous google dorks
Dangerous google dorksDangerous google dorks
Dangerous google dorks
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
 
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
 
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
 
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav BishtHacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
 
Learning sed and awk
Learning sed and awkLearning sed and awk
Learning sed and awk
 

Similaire à 脆弱性診断って何をどうすればいいの?(おかわり)

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開Muneaki Nishimura
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9Shinichiro Kawano
 
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告Akitsugu Ito
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてtobaru_yuta
 
CNNチュートリアル
CNNチュートリアルCNNチュートリアル
CNNチュートリアルIkuro Sato
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはRiotaro OKADA
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」Masato Kinugawa
 
セキュキャンのススメ
セキュキャンのススメセキュキャンのススメ
セキュキャンのススメshutingrz
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)Sen Ueno
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225株式会社スカイアーチネットワークス
 
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例アジャイルプラクティス導入事例
アジャイルプラクティス導入事例Shun Tsunoda
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスクLumin Hacker
 
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)robotcare
 
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...Kazumi Hirose
 

Similaire à 脆弱性診断って何をどうすればいいの?(おかわり) (20)

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
 
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
 
Mix Leap 0214 security
Mix Leap 0214 securityMix Leap 0214 security
Mix Leap 0214 security
 
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断についてWebアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
 
CNNチュートリアル
CNNチュートリアルCNNチュートリアル
CNNチュートリアル
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるにはCISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
 
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
セキュキャンのススメ
セキュキャンのススメセキュキャンのススメ
セキュキャンのススメ
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
 
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
 
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスククラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
 
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
 
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
 

脆弱性診断って何をどうすればいいの?(おかわり)