Upgrade to Pro — share decks privately, control downloads, hide ads and more …

_脆弱性診断研究会_78_TruthPositiveのお話.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for zash_shibainu zash_shibainu
October 24, 2019
Technology
77
0

 _脆弱性診断研究会_78_TruthPositiveのお話.pdf

Avatar for zash_shibainu

zash_shibainu

October 24, 2019

More Decks by zash_shibainu

See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
Avatar for zash_shibainu zash_shibainu
0
110
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Avatar for zash_shibainu zash_shibainu
0
270
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
Avatar for zash_shibainu zash_shibainu
0
440
_eLV_Web脆弱性を体験しよう.pdf
Avatar for zash_shibainu zash_shibainu
1
540
【IaCC#2】DockerImageでアプリを配布しよう
Avatar for zash_shibainu zash_shibainu
1
250
【ええんやで#59】Mutillidaeのインストールを見よう
Avatar for zash_shibainu zash_shibainu
0
600
OWASP Top10-2017対応版Dockerイメージの使い方
Avatar for zash_shibainu zash_shibainu
1
980
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
Avatar for zash_shibainu zash_shibainu
1
160
没【ええんやで#57】2017年を振り返ってみる.pdf
Avatar for zash_shibainu zash_shibainu
0
150

Other Decks in Technology

See All in Technology
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
Avatar for SONiC Users Group Japan sonic
0
240
2026TECHFRESH畢業分享會 - 葬送的通靈師:化系統與用戶雜訊成行動訊號
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.2k
SONiCのLinuxベースを活かしたZabbix監視
Avatar for SONiC Users Group Japan sonic
0
190
【Snowflake Summit 2026 Recap!!】Snowflake Summit Deep Dive: Security & Governance
Avatar for Civitaspo civitaspo
1
240
機械学習を「社会実装」するということ 2026年夏版 / Social Implementation of Machine Learning June 2026 Version
Avatar for Moe Uchiike(内池 もえ) moepy_stats
6
2.4k
作って終わりにしない タイミーのセマンティックレイヤー育成の現在地
Avatar for chanyou0311 chanyou0311
4
2.4k
AIっぽい文章を採点して人間らしく直すアプリを作ってみた
Avatar for Yuuki Yamashita yama3133
2
200
200個のGitHubリポジトリを横断調査したかった
Avatar for Issei.Komori icck
0
130
2026TECHFRESH畢業分享會 - Lightning Talk - E起 See See : 電商推薦讀心術? 數據說了算
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.2k
MCP Appsを作ってみよう
Avatar for iwamot iwamot
PRO
4
680
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
Avatar for shinji ezaki ezaki
0
120
LayerXにおけるセキュリティ管理の現在地と次の一手
Avatar for tosho tosho
0
220

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.9k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
230
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
250
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3.1k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
330
40k
The Curious Case for Waylosing
Avatar for Cassini Nazir cassininazir
1
390
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
1
250
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
210
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
2k

Transcript

  1. None

  2. この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78

  3. 名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋

     →いちおフリーだったんですが   諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78

  4. トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78

  5. 4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  6. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  7. (;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78

  8. 脆弱性診断研究会#78

  9. アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805

  10. 元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78

  11. 脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)

    (修正できていない)

  12. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  13. 脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =

    OK ⇒検出できない!  False-Negative 別のスキャナ(PoC)  ⇒検出!   Truth-Positive 再スキャン ⇒検出しない!  ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知

  14. 脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~

  15. 4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  16. 脆弱性診断研究会#78 16