Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Dueno
August 24, 2016
Technology
0
1.6k
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
Tweet
Share
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.8k
Feature SpecにVisual Regression Testいれてみる
anochick
0
390
Other Decks in Technology
See All in Technology
Oracle Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
4
1.2k
ナレッジワークのご紹介(第88回情報処理学会 )
kworkdev
PRO
0
180
今のWordPress の制作手法ってなにがあんねん?(改) / What’s the Deal with WordPress Development These Days?
tbshiki
0
210
OCI Security サービス 概要
oracle4engineer
PRO
2
13k
スクリプトの先へ!AIエージェントと組み合わせる モバイルE2Eテスト
error96num
0
160
Dr. Werner Vogelsの14年のキーノートから紐解くエンジニアリング組織への処方箋@JAWS DAYS 2026
p0n
1
130
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
jyoshise
0
290
マルチプレーンGPUネットワークを実現するシャッフルアーキテクチャの整理と考察
markunet
2
240
8万デプロイ
iwamot
PRO
2
230
非情報系研究者へ送る Transformer入門
rishiyama
11
7.2k
Claude Code 2026年 最新アップデート
oikon48
10
8.2k
Datadog の RBAC のすべて
nulabinc
PRO
3
450
Featured
See All Featured
Building the Perfect Custom Keyboard
takai
2
710
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
1.9k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
320
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
780
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
410
Claude Code のすすめ
schroneko
67
220k
Code Review Best Practice
trishagee
74
20k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
140
Leo the Paperboy
mayatellez
4
1.5k
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...
SiteGround - Reliable hosting with speed, security, and support you can count on.
anochick
oracle4engineer
kworkdev
tbshiki
error96num
p0n
jyoshise
markunet
iwamot
rishiyama
oikon48
nulabinc
takai
aleyda
jct
malarkey
bluesmoon
marktimemedia
schroneko
trishagee
sabderemane
mayatellez
addyosmani
