Upgrade to Pro — share decks privately, control downloads, hide ads and more …

スクラム開発経験者のエンジニアが 1年間脆弱性診断してお伝えしたいいくつかのこと

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Misaki Makino Misaki Makino
June 30, 2020
Programming
0
1.1k

スクラム開発経験者のエンジニアが 1年間脆弱性診断してお伝えしたいいくつかのこと

2020/06/30 社内ランチウェビナー
で発表した資料です。

Avatar for Misaki Makino

Misaki Makino

June 30, 2020
Tweet

More Decks by Misaki Makino

See All by Misaki Makino
社会人がProSecで学んでみて
Avatar for Misaki Makino tsukushi
0
84
脆弱性診断の内製化と外注
Avatar for Misaki Makino tsukushi
9
4.3k
プロダクトセキュリティにおける欠如モデルからの脱却
Avatar for Misaki Makino tsukushi
0
1.3k
Attractions and interests of wasm-bindgen
Avatar for Misaki Makino tsukushi
2
850
wasm-bindgen - その魅力と面白さ -
Avatar for Misaki Makino tsukushi
1
4.1k
Rust + WebAssemblyに入門した話
Avatar for Misaki Makino tsukushi
1
2.7k
未経験新卒エンジニアがRustを学び始めてよかったこと
Avatar for Misaki Makino tsukushi
2
10k

Other Decks in Programming

See All in Programming
AIに仕事を丸投げしたら、本当に楽になれるのか
Avatar for ディップ株式会社 dip_tech
PRO
0
180
Takumiから考えるSecurity_Maturity_Model.pdf
Avatar for gessy0129 gessy0129
1
120
今更考える「単一責任原則」 / Thinking about the Single Responsibility Principle
Avatar for philomagi tooppoo
3
1.4k
SourceGeneratorのマーカー属性問題について
Avatar for tkym htkym
0
140
オブザーバビリティ駆動開発って実際どうなの?
Avatar for yohfee yohfee
3
690
new(1.26) ← これすき / kamakura.go #8
Avatar for utagawa kiki utgwkk
0
1.6k
エージェント開発初心者の僕が エージェントを作った話と今後やりたいこと
Avatar for ta-hasunuma thasu0123
0
230
受け入れテスト駆動開発(ATDD)×AI駆動開発 AI時代のATDDの取り組み方を考える
Avatar for Takasaki Kazunari kztakasaki
2
520
Railsの気持ちを考えながらコントローラとビューを整頓する/tidying-rails-controllers-and-views-as-rails-think
Avatar for MOROHASHI Kyosuke moro
4
370
CopilotKit + AG-UIを学ぶ
Avatar for NearMeの技術発表資料です nearme_tech
PRO
1
130
AIコーディングの理想と現実 2026 | AI Coding: Expectations vs. Reality 2026
Avatar for Tomohisa Takaoka tomohisa
0
1k
どんと来い、データベース信頼性エンジニアリング / Introduction to DBRE
Avatar for nnaka2992 nnaka2992
1
130

Featured

See All Featured
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
Avatar for Greg Gifford greggifford
PRO
0
93
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
79
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.4k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.6k
Skip the Path - Find Your Career Trail
Avatar for Mark Kilby mkilby
1
72
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
2
130
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
99
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
490
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k

Transcript

  1. εΫϥϜ։ൃܦݧऀͷΤϯδχΞ͕ ೥ؒ੬ऑੑ਍அͯ͠ ͓఻͍͍͔͑ͨͭ͘͠ͷ͜ͱ ʙ ਍அσϞΛఴ͑ͯ ʙ .JTBLJ.BLJOP

  2. ຊ΢ΣϏφʔͷഎܠ

  3. ࣗݾ঺հ ˔ ΤϯδχΞͱͯ͠ ৽ଔೖࣾ ˔ ࣄۀ෦ ʹ഑ଐ͞ΕΔ ˓ چΞʔΩͰͷվमɾ৽نػೳ։ൃ ˓

    ৽ΞʔΩ΁ͷҠߦϓϩδΣΫτ ˓ εΫϥϜ։ൃ ˔ ηΩϡϦςΟࣨ ΁ҟಈ ˓ ੬ऑੑ਍அ ˓ ؂ࢹ ˓ ܒ໤׆ಈ

  4. ഑ଐ௚ޙɺ্௕ʹݴΘΕͨ͜ͱ ηΩϡϦςΟ஌ࣝʹછ·͍ͬͯͳ͍ ཰௚ͳؾ࣋ͪ΍ٙ໰Λେ੾ʹ ֶΜͩ͜ͱΛશࣾʹൃ৴ͯ͠ཉ͍͠

  5. શࣾһ޲͚ʹॳาతͳηΩϡϦςΟ஌ࣝΛ഑৴ ࠷ॳͷ࢓ࣄ4MBDL഑৴

  6. ϢʔβʔετʔϦʔʹ ߈ܸऀΛ ௥ՃͰ͖ΔΑ͏ʹͳΔ͜ͱ ຊ΢ΣϏφʔͷΰʔϧ

  7. ຊ೔ͷ͓඼ॻ͖ XFCΞϓϦ੬ऑੑ਍அͷखॱͱϙΠϯτ 08"41+VJDF4IPQΛ༻͍ͨ਍அσϞ ੬ऑੑ਍அۀ຿Λ௨ͯ͠ಘͨؾ͖ͮ ϢʔβʔετʔϦʔΛߟ͑ͯΈΔ ·ͱΊ

  8. XFCΞϓϦ੬ऑੑ਍அͷ खॱͱϙΠϯτ

  9. XFCΞϓϦ੬ऑੑ਍அͷखॱ πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒

  10. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶃ ΞλϦ Λ͚ͭΔ

  11. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶄ ߈ܸͷ ࣮ݱ༰қੑ

    ৘ใࢿ࢈ ͷՁ஋

  12. πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒ ϙΠϯτᶅ ೴಺ʹ͋Δ ߈ܸख๏Λ

    ૿΍͢

  13. ۩ମతͳख๏Λ ந৅Խ͍ͯ͘͠

  14. 42- *OHFDUJPO

  15. ೖྗ஋Λ ϓϩάϥϜͩͱ ೝࣝͤ͞Δ߈ܸ 42- *OHFDUJPO

  16. ೖྗ஋Λ ϓϩάϥϜͩͱ ೝࣝͤ͞Δ߈ܸ ໊લΛ஌Βͳͯ͘΋ ࢥ͍ͭ͘͜ͱ͕Ͱ͖Δ ೖྗ஋Λ+4ͩͱ ϒϥ΢βʹ ೝࣝͤ͞Δ߈ܸ 42- *OHFDUJPO

  17. ϙΠϯτᶆ ਍அͷ׬ྃ۩߹Λ ͻͱ໨ͰΘ͔ΔΑ͏ʹ͢Δ πʔϧΛ༻͍ͨࣗಈ਍அ ϓϩΩγΛڬΜͩ໢ཏతͳΞϓϦશମͷૢ࡞ ਍அՕॴͷ༏ઌॱҐ෇͚ ਍அγφϦΦ࡞੒ खಈ਍அ ূ੻ه࿥ɺਐḿγʔτه࿥ ਍அ݁ՌϨϙʔτ࡞੒

  18. 08"41+VJDF4IPQ Λ༻͍ͨ਍அσϞ

  19. ˔ ,BMJ-JOVY ˔ /FTTVT ˔ #VSQ4VJUF ˔ 'JSFGPY"EEPO ˓ 'PYZ1SPYZ

    ˓ 6TFS"HFOU4XJUDIFS ˓ 8SBQQBZ[FS πʔϧҰཡ

  20. ੬ऑੑ਍அۀ຿Λ௨ͯ͠ ಘͨؾ͖ͮ

  21. όά͹͔ΓϨϙʔτʹ ॻ͍ͯ͠·͍ͬͯͨ ੬ऑੑ਍அۀ຿Λ࢝Ίͨͯͷࠒ !

  22. ઌഐ͔ΒΑ࣭͘໰͞Εͨ͜ͱ ߈ܸऀʹ ͲΜͳϝϦοτ͕ ͋Γ·͔͢ʁ ຊ౰ʹ߈ܸ͸ ՄೳͰ͔͢ʁ όά୳͠Ͱ͸ͳ͘ϦεΫ୳͠ ͩͱೝࣝͰ͖ΔΑ͏ʹ 

  23. ࣄۀ෦ͰͷεΫϥϜ։ൃ ϦεΫ୳͠Ͱ͸ͳ͘ όά୳͠Λ͍ͯͨ͠

  24. ࠓͷࣗ෼ͩͬͨΒ ϦεΫ୳͠΋ߦͬͨ ઃܭɾ࣮૷ɾςετ͕Ͱ͖Δ !

  25. όά୳͠ͱϦεΫ୳͠ͷҧ͍ ˔ όά୳͠ͷؾ࣋ͪͰίτʹ޲͔͏ͱ ˓ ػೳΛਖ਼ৗʹಈ͔͢͜ͱ͚ͩʹ໨͕ߦ͘ ˓ ϢʔβʔετʔϦʔ͸ΞϓϦͱϢʔβʔͰ׬݁ ˔ ϦεΫ୳͠ͷؾ࣋ͪͰίτʹ޲͔͏ͱ ˓

    ѱ༻͞ΕΔϦεΫ΋ߟ͑ΔΑ͏ʹͳΔ ˓ ϢʔβʔετʔϦʔʹ߈ܸऀ͕Ճ͑ΒΕΔΑ͏ʹ ͳΔ

  26. ϢʔβʔετʔϦʔΛ ߟ͑ͯΈΔ ϩάΠϯը໘Ͱ͸ɺ ͲͷΑ͏ͳϢʔβʔετʔϦʔ͕ߟ͑ΒΕ·͔͢ʁ

  27. όά୳͠ͰͷϢʔβʔετʔϦʔ ˔ Ϣʔβʔ͕ਖ਼͘͠ೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ύεϫʔυΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ϝʔϧΞυϨεΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ڐ༰͞Εͳ͍จࣈΛೖྗͨ͠৔߹ ˓

    શ֯จࣈ ˓ ൒֯Χφจࣈ 

  28. ϦεΫ୳͠ͱͯ͠ଊ͑ͨ৔߹ ߈ܸͷ ࣮ݱ༰қੑ ৘ใࢿ࢈ ͷՁ஋

  29. ߈ܸऀ͔Β؍ͨϩάΠϯը໘ ˔ ߈ܸͷ࣮ݱ༰қੑʹ͍ͭͯ ˓ ୭Ͱ΋ΞΫηεՄೳͳը໘ ˓ ݕূ͢Δ΂͖஋΋ϝʔϧΞυϨεͱύεϫʔυͷ ̎छྨ͚ͩ ˔ ৘ใࢿ࢈ͷՁ஋ʹ͍ͭͯ

    ˓ Ϣʔβʔͷݸਓ৘ใ ˓ ձһొ࿥ࡁΈϢʔβʔϦετ

  30. ! ϦεΫ୳͠ͰͷϢʔβʔετʔϦʔ ˔ Ϣʔβʔ͕ਖ਼͘͠ೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ύεϫʔυΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ϝʔϧΞυϨεΛؒҧͬͯೖྗͨ͠৔߹ ˔ Ϣʔβʔ͕ڐ༰͞Εͳ͍จࣈΛೖྗͨ͠৔߹

    ˔ ߈ܸऀ͕ϢʔβʔͷΞΧ΢ϯτΛ৐ͬऔΖ͏ͱͨ͠৔߹ ˔ ߈ܸऀ͕ొ࿥ࡁΈϢʔβʔͷϦετΛ࡞Ζ͏ͱͨ͠৔߹

  31. Ϣʔβʔ ߈ܸऀ ͰΑΓ҆શੑ͕ߟྀ͞Εͨઃܭɾ࣮૷ɾςετʹ ύεϫʔυೖྗΛؒҧ͑ͨ৔߹ͷ࣮૷ ˔ ΤϥʔϨεϙϯεΛฦ͢ ˓ ϝʔϧΞυϨεͷొ࿥ͷ༗ແ͕Θ͔Βͳ͍Α͏ʹ͢Δ ˓ ࿈ଓͰࢼߦͰ͖Δճ਺Λ੍ݶ͢Δ

  32. ·ͱΊ

  33. ಛʹ͓఻͍͑ͨ͜͠ͱ XFCΞϓϦ੬ऑੑ਍அͷखॱͱϙΠϯτ ۩ମతͳख๏Λந৅Խ͍ͯ͘͠ 08"41+VJDF4IPQΛ༻͍ͨ਍அσϞ #VSQ4VJUFͷجຊతͳ࢖͍ํ ੬ऑੑ਍அۀ຿Λ௨ͯ͠ಘͨؾ͖ͮ ਍அ͸όά୳͠Ͱ͸ͳ͘ϦεΫ୳͠ ϢʔβʔετʔϦʔΛߟ͑ͯΈΔ Ϣʔβʔ ߈ܸऀͰΑΓ҆શʹ

  34. ϢʔβʔετʔϦʔʹ ߈ܸऀΛ ௥Ճͯ͠Έ͍ͯͩ͘͞Ͷʂ ͦΕͰ͸Έͳ͞·

  35. ͝ਗ਼ௌ ͋Γ͕ͱ͏͍͟͝·ͨ͠