Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
継続的セキュリティテストを導入したい気持ち
Search
Dueno
August 24, 2016
Technology
0
1.4k
継続的セキュリティテストを導入したい気持ち
Dueno
August 24, 2016
Tweet
Share
More Decks by Dueno
See All by Dueno
Rails,Feature specにViewの回帰テストを入れる
anochick
0
1.6k
Feature SpecにVisual Regression Testいれてみる
anochick
0
370
Other Decks in Technology
See All in Technology
MLOps の現場から
asei
6
640
10分で学ぶKubernetesコンテナセキュリティ/10min-k8s-container-sec
mochizuki875
3
330
2024年にチャレンジしたことを振り返るぞ
mitchan
0
130
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
100
コンテナセキュリティのためのLandlock入門
nullpo_head
2
320
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
190
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
150
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
440
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
150
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
140
Storage Browser for Amazon S3
miu_crescent
1
140
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
180
Featured
See All Featured
Become a Pro
speakerdeck
PRO
26
5k
Six Lessons from altMBA
skipperchong
27
3.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.1k
Making Projects Easy
brettharned
116
5.9k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Music & Morning Musume
bryan
46
6.2k
RailsConf 2023
tenderlove
29
940
Speed Design
sergeychernyshev
25
670
Building an army of robots
kneath
302
44k
Transcript
継続的 セキュリティテストを 導入したい気持ち
自己紹介 • Dueno @anoChick • 株式会社 Speee 新卒3年目 中途 •
Webマーケティング事業部 以下略
セキュリティ面での現状 ・定期的に外部のセキュリティテストを実施 ・価格は決して安くない ・プロダクトの更新頻度を上げるので テスト頻度も上げていきたい うーん...
導入してみたいやつ • Webアプリケーションの脆弱性検査ツール • Amazonのセキュリティ評価サービス 評価対象は主にOS こうしたい→
VADDYで検査されること XSS SQL Injection Remote File Inclusion Directory Traversal Command
Injection
VADDYの使いかた 1. 対象URLを登録(認証用の静的ファイルを置く) 2. 指定されたプロキシを挿してサイト内を回遊する (クロールパターンを教え込む) 3. 上で作られたクロールパターンをもとにテストを実行 4. 結果が出る
VADDY導入にあたって考える事 1. テスト環境の準備 現在完全に動くstaging環境が存在しない 2. クロールパターンの登録を自動化したい 公式には「Selenium使ってね!」とか書いてあった Feature Spec流用できないかな。ローカルプロキシつかうとか 3.
実際の運用想定 CircleCIに差し込むと思うんだけど、待つの? 問題が検知されるケースって滅多にないと思うんだけど、 運用のモチベーション維持できるの?
Amazon Inspectorで評価されること 4つのルールパッケージ ・共通脆弱性(CVE) 2016/08/17現在で CVE-2016-6635(2016/08/17に作られたもの) まで対応していた ・CISのOSセキュリティ設定ベンチマーク http://dev.classmethod.jp/cloud/aws/reading-cis-benchmark-for-amazon-linux/ ・セキュリティベスト・プラクティス
システムディレクトリの権限はrootのみになっているか等 ・Runtime Behavior Analysis 未使用の'listening'ポートや安全でないプロトコルの検知
Amazon Inspectorの使い方 コマンドでAgent入れる→実行 ・ルールパッケージは選択出来る ・実行時間は任意 (推奨は1時間。それ未満だと検査が終わらない可能性有る)
進捗(導入事例) 作って発表したい To be continued...
anochick
asei
mochizuki875
mitchan
bitkey
nullpo_head
scarletplover
ishikawa_satoru
tomoki10
taichinakamura
champ
miu_crescent
shingo_kawahara
speakerdeck
skipperchong
sugarenia
chriscoyier
lauravandoore
marktimemedia
brettharned
tanoku
bryan
tenderlove
sergeychernyshev
kneath
