Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
Search
zash_shibainu
October 24, 2019
Technology
72
0
Share
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
October 24, 2019
More Decks by zash_shibainu
See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
100
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
0
270
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
540
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
240
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
590
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
970
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
140
Other Decks in Technology
See All in Technology
ログ基盤・プラグイン・ダッシュボード、全部整えた。でも最後は人だった。
makikub
5
1.3k
Databricksを用いたセキュアなデータ基盤構築とAIプロダクトへの応用.pdf
pkshadeck
PRO
0
220
機能・非機能の学びを一つに!Agent Skillsで月間レポート作成始めてみた / Unifying Bug & Infra Insights — Building Monthly Quality Reports with Agent Skills
bun913
5
3.8k
OpenClaw初心者向けセミナー / OpenClaw Beginner Seminar
cmhiranofumio
0
360
3つのボトルネックを解消し、リリースエンジニアリングを再定義した話
nealle
0
280
Kubernetes基盤における開発者体験 とセキュリティの両⽴ / Balancing developer experience and security in a Kubernetes-based environment
chmikata
0
210
40代からのアウトプット ― 経験は価値ある学びに変わる / 20260404 Naoki Takahashi
shift_evolve
PRO
5
910
ふりかえりを 「あそび」にしたら、 学習が勝手に進んだ / Playful Retros Drive Learning
katoaz
0
410
建設的な現実逃避のしかた / How to practice constructive escapism
pauli
4
300
仕様通り動くの先へ。Claude Codeで「使える」を検証する
gotalab555
8
3.1k
Oracle Cloud Infrastructure(OCI):Onboarding Session(はじめてのOCI/Oracle Supportご利⽤ガイド)
oracle4engineer
PRO
2
17k
主催・運営として"場をつくる” というアウトプットのススメ
_mossann_t
0
130
Featured
See All Featured
A designer walks into a library…
pauljervisheath
211
24k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
25k
Google's AI Overviews - The New Search
badams
0
960
How GitHub (no longer) Works
holman
316
150k
Optimizing for Happiness
mojombo
378
71k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
27
3.4k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
510
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
3.8k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2k
Designing Experiences People Love
moore
143
24k
Transcript
None
この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78
名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋
→いちおフリーだったんですが 諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78
トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78
4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
(;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78
脆弱性診断研究会#78
アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805
元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78
脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)
(修正できていない)
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =
OK ⇒検出できない! False-Negative 別のスキャナ(PoC) ⇒検出! Truth-Positive 再スキャン ⇒検出しない! ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知
脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~
4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
脆弱性診断研究会#78 16
zash_shibainu
makikub
pkshadeck
bun913
cmhiranofumio
nealle
chmikata
shift_evolve
katoaz
pauli
gotalab555
oracle4engineer
_mossann_t
pauljervisheath
bcantrill
aleyda
addyosmani
badams
holman
mojombo
eileencodes
tammyeverts
raygrieselhuber
moore
