Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Dueno
August 24, 2016
Technology
0
1.3k
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
Tweet
Share
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.5k
Feature SpecにVisual Regression Testいれてみる
anochick
0
320
Other Decks in Technology
See All in Technology
On Your Data を超えていく!
hirotomotaguchi
2
690
20240418_Google ColabにLLMが搭載されたようなのでPython x データ分析の勉強方法を考えてみる
doradora09
0
140
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
350
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.3k
推しは推せるときに推せ! プロダクトにフィードバックしていこう
nakasho
0
320
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
190
エンジニアのキャリアをちょっと楽しくする3本の軸/Three Pillars to Make an Engineer's Career More Enjoyable
kwappa
0
2.7k
競技としてのKaggle、役に立つKaggle
yu4u
3
1.7k
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
260
Azure犬駆動開発の記録/GlobalAzureFukuoka2024_20240420
nina01
1
210
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
生成AIの変革の時代に、直近1年で直面した課題とその解決策
ktc_wada
0
290
Featured
See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
Reflections from 52 weeks, 52 projects
jeffersonlam
345
19k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
A better future with KSS
kneath
231
16k
How to train your dragon (web standard)
notwaldorf
73
5.2k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
Docker and Python
trallard
34
2.7k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
187
16k
BBQ
matthewcrist
80
8.8k
Ruby is Unlike a Banana
tanoku
96
10k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...