Upgrade to Pro — share decks privately, control downloads, hide ads and more …

_脆弱性診断研究会_78_TruthPositiveのお話.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for zash_shibainu zash_shibainu
October 24, 2019
Technology
0
71

 _脆弱性診断研究会_78_TruthPositiveのお話.pdf

Avatar for zash_shibainu

zash_shibainu

October 24, 2019
Tweet

More Decks by zash_shibainu

See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
Avatar for zash_shibainu zash_shibainu
0
99
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Avatar for zash_shibainu zash_shibainu
0
260
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
Avatar for zash_shibainu zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
Avatar for zash_shibainu zash_shibainu
1
530
【IaCC#2】DockerImageでアプリを配布しよう
Avatar for zash_shibainu zash_shibainu
1
230
【ええんやで#59】Mutillidaeのインストールを見よう
Avatar for zash_shibainu zash_shibainu
0
580
OWASP Top10-2017対応版Dockerイメージの使い方
Avatar for zash_shibainu zash_shibainu
1
960
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
Avatar for zash_shibainu zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
Avatar for zash_shibainu zash_shibainu
0
140

Other Decks in Technology

See All in Technology
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
Avatar for Visional Engineering & Design visional_engineering_and_design
0
120
AIエージェント時代に備える AWS Organizations とアカウント設計
Avatar for Hajime KOSHIRO kossykinto
3
670
組織全体で実現する標準監視設計
Avatar for Yuto Obayashi yuobayashi
2
470
マルチロールEMが実践する「組織のレジリエンス」を高めるための組織構造と人材配置戦略
Avatar for coconala_engineer coconala_engineer
3
690
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
2
270
vLLM Community Meetup Tokyo #3 オープニングトーク
Avatar for jpishikawa jpishikawa
0
310
僕、S3  シンプルって名前だけど全然シンプルじゃありません よろしくお願いします
Avatar for Yuuki Yamashita yama3133
1
180
JAWS DAYS 2026 ExaWizards_20260307
Avatar for ExaWizards exawizards
0
400
マルチアカウント環境でSecurity Hubの運用!導入の苦労とポイント / JAWS DAYS 2026
Avatar for GENDA genda
0
380
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
210
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
11k
クラウド × シリコンの Mashup - AWS チップ開発で広がる AI 基盤の選択肢
Avatar for Hiroshi Tokoyo htokoyo
2
170

Featured

See All Featured
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
2.6M
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
190
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.2k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
82
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
150
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
130
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
1.9k
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
1
2k

Transcript

  1. None

  2. この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78

  3. 名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋

     →いちおフリーだったんですが   諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78

  4. トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78

  5. 4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  6. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  7. (;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78

  8. 脆弱性診断研究会#78

  9. アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805

  10. 元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78

  11. 脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)

    (修正できていない)

  12. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  13. 脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =

    OK ⇒検出できない!  False-Negative 別のスキャナ(PoC)  ⇒検出!   Truth-Positive 再スキャン ⇒検出しない!  ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知

  14. 脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~

  15. 4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  16. 脆弱性診断研究会#78 16