Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
Search
zash_shibainu
October 24, 2019
Technology
0
61
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
October 24, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
86
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
0
230
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
380
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
500
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
210
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
420
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
800
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
140
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
130
Other Decks in Technology
See All in Technology
Discord とビルダー&チャットボットの使い方 / How to use Discord and Builder & Chatbots
ks91
PRO
0
130
Aurora MySQL v3(MySQL8.0互換)の オンラインDDLの罠挙動を全バージョンで検証した
yutakikai
1
150
Data and AI Governance: Existing Challenges and Emerging Trends
scotthsieh825
0
160
日本におけるデータエンジニアリングのこれまでとこれから
foursue
13
2.5k
Algyan イベント振り返り
linyixian
0
190
株式会社EventHub・エンジニア採用資料
eventhub
0
1.9k
Hands-on / Kaname Frusawa / Cloud Compare Users Meetup 2024 at University of Tokyo on April 17
paraworld
2
470
AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials
emiki
1
4.2k
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
4
250
Microsoft Cloudで開発ライフサイクルを保護する
kkamegawa
0
150
AIQ株式会社 エンジニア向け会社紹介資料
aiqlab
0
380
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
200
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1023
450k
Building a Scalable Design System with Sketch
lauravandoore
455
32k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
2k
Visualization
eitanlees
135
14k
Making Projects Easy
brettharned
108
5.5k
Optimising Largest Contentful Paint
csswizardry
7
2.3k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
18
1.7k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
From Idea to $5000 a Month in 5 Months
shpigford
377
45k
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Transcript
None
この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78
名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋
→いちおフリーだったんですが 諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78
トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78
4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
(;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78
脆弱性診断研究会#78
アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805
元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78
脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)
(修正できていない)
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =
OK ⇒検出できない! False-Negative 別のスキャナ(PoC) ⇒検出! Truth-Positive 再スキャン ⇒検出しない! ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知
脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~
4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
脆弱性診断研究会#78 16