Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Dueno
August 24, 2016
Technology
1.6k
0
Share
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.8k
Feature SpecにVisual Regression Testいれてみる
anochick
0
390
Other Decks in Technology
See All in Technology
DIPS2.0データに基づく森林管理における無人航空機の利用状況
naokimuroki
0
150
Cortex Code君、今日から内製化支援担当ね。
coco_se
0
300
Oracle AI Databaseデータベース・サービス: BaseDB/ExaDB-Dの可用性
oracle4engineer
PRO
1
170
ふりかえりがなかった職能横断チームにふりかえりを導入してみて学んだこと 〜チームのふりかえりを「みんなで未来を考える場」にするプロローグ設計〜
masahiro1214shimokawa
0
260
OpenClaw初心者向けセミナー / OpenClaw Beginner Seminar
cmhiranofumio
0
360
英語翻訳を通じて 音声AIエージェント入門してみた
shichijoyuhi
0
110
推し活エージェント
yuntan_t
1
890
ある製造業の会社全体のAI化に1エンジニアが挑んだ話
kitami
2
660
システムは「動く」だけでは 足りない - 非機能要件・分散システム・トレードオフの基礎
nwiizo
23
6.7k
Claude Teamプランの選定と、できること/できないこと
rfdnxbro
1
1.8k
新規サービス開発におけるReact Nativeのリアル〜技術選定の裏側と実践的OSS活用〜
grandbig
2
160
ストライクウィッチーズ2期6話のエイラの行動が許せないのでPjMの観点から何をすべきだったのかを考える
ichimichi
1
310
Featured
See All Featured
The Limits of Empathy - UXLibs8
cassininazir
1
290
Crafting Experiences
bethany
1
110
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.9k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
170
Marketing to machines
jonoalderson
1
5.1k
Paper Plane (Part 1)
katiecoart
PRO
0
6.4k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
310
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
260
sira's awesome portfolio website redesign presentation
elsirapls
0
210
Balancing Empowerment & Direction
lara
5
1k
Git: the NoSQL Database
bkeepers
PRO
432
67k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...
anochick
naokimuroki
coco_se
oracle4engineer
masahiro1214shimokawa
cmhiranofumio
shichijoyuhi
yuntan_t
kitami
nwiizo
rfdnxbro
grandbig
ichimichi
cassininazir
bethany
tanoku
reverentgeek
gurzu
jonoalderson
katiecoart
inesmontani
elsirapls
lara
bkeepers
