Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
Search
zash_shibainu
October 24, 2019
Technology
0
66
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
October 24, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
96
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
0
260
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
530
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
230
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
570
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
940
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
140
Other Decks in Technology
See All in Technology
[JAWS-UG 横浜支部 #91]DevOps Agent vs CloudWatch Investigations -比較と実践-
sh_fk2
1
240
文字列の並び順 / Unicode Collation
tmtms
0
130
[デモです] NotebookLM で作ったスライドの例
kongmingstrap
0
110
意外とあった SQL Server 関連アップデート + Database Savings Plans
stknohg
PRO
0
300
世界最速級 memcached 互換サーバー作った
yasukata
0
330
チーリンについて
hirotomotaguchi
4
1.4k
ChatGPTで論⽂は読めるのか
spatial_ai_network
0
510
エンジニアリングをやめたくないので問い続ける
estie
0
170
エンジニアリングマネージャー はじめての目標設定と評価
halkt
0
260
20251209_WAKECareer_生成AIを活用した設計・開発プロセス
syobochim
5
1.4k
pmconf2025 - 他社事例を"自社仕様化"する技術_iRAFT法
daichi_yamashita
0
790
Playwrightのソースコードに見る、自動テストを自動で書く技術
yusukeiwaki
13
5k
Featured
See All Featured
Bash Introduction
62gerente
615
210k
Fireside Chat
paigeccino
41
3.7k
The Invisible Side of Design
smashingmag
302
51k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.7k
Faster Mobile Websites
deanohume
310
31k
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
8.3k
Designing Experiences People Love
moore
143
24k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Raft: Consensus for Rubyists
vanstee
141
7.2k
Code Reviewing Like a Champion
maltzj
527
40k
Transcript
None
この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78
名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋
→いちおフリーだったんですが 諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78
トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78
4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
(;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78
脆弱性診断研究会#78
アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805
元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78
脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)
(修正できていない)
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =
OK ⇒検出できない! False-Negative 別のスキャナ(PoC) ⇒検出! Truth-Positive 再スキャン ⇒検出しない! ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知
脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~
4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
脆弱性診断研究会#78 16
zash_shibainu
sh_fk2
tmtms
kongmingstrap
stknohg
yasukata
hirotomotaguchi
spatial_ai_network
estie
halkt
syobochim
daichi_yamashita
yusukeiwaki
62gerente
paigeccino
smashingmag
erikaheidi
reverentgeek
deanohume
aarron
aleyda
moore
chriscoyier
vanstee
maltzj
