Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Dueno
August 24, 2016
Technology
0
1.5k
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
Tweet
Share
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.7k
Feature SpecにVisual Regression Testいれてみる
anochick
0
390
Other Decks in Technology
See All in Technology
プロポーザルのコツ ~ Kaigi on Rails 2025 初参加で3名の登壇を実現 ~
naro143
1
240
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
3
5.5k
カンファレンスに託児サポートがあるということ / Having Childcare Support at Conferences
nobu09
1
560
ビズリーチ求職者検索におけるPLMとLLMの活用 / Search Engineering MEET UP_2-1
visional_engineering_and_design
1
120
Git in Team
kawaguti
PRO
3
370
Claude Codeを駆使した初めてのiOSアプリ開発 ~ゼロから3週間でグローバルハッカソンで入賞するまで~
oikon48
2
740
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
findy_eventslides
2
630
[Codex Meetup Japan #1] Codex-Powered Mobile Apps Development
korodroid
2
690
セキュアな認可付きリモートMCPサーバーをAWSマネージドサービスでつくろう! / Let's build an OAuth protected remote MCP server based on AWS managed services
kaminashi
3
320
E2Eテスト設計_自動化のリアル___Playwrightでの実践とMCPの試み__AIによるテスト観点作成_.pdf
findy_eventslides
2
620
HR Force における DWH の併用事例 ~ サービス基盤としての BigQuery / 分析基盤としての Snowflake ~@Cross Data Platforms Meetup #2「BigQueryと愉快な仲間たち」
ryo_suzuki
0
210
Performance Insights 廃止から Database Insights 利用へ/transition-from-performance-insights-to-database-insights
emiki
0
270
Featured
See All Featured
Designing for humans not robots
tammielis
254
26k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
22k
4 Signs Your Business is Dying
shpigford
185
22k
Side Projects
sachag
455
43k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.5k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
115
20k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.6k
Code Review Best Practice
trishagee
72
19k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
Reflections from 52 weeks, 52 projects
jeffersonlam
353
21k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...
anochick
naro143
oracle4engineer
nobu09
visional_engineering_and_design
kawaguti
oikon48
findy_eventslides
korodroid
kaminashi
ryo_suzuki
emiki
tammielis
danielanewman
shpigford
sachag
caitiem20
jcasabona
panda_program
garrettdimon
trishagee
aarron
jeffersonlam
chriscoyier
