Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
Search
zash_shibainu
October 24, 2019
Technology
78
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
October 24, 2019
More Decks by zash_shibainu
See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
110
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
0
270
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
440
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
540
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
250
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
600
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
980
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
160
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
150
Other Decks in Technology
See All in Technology
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
210
CIで使うClaude
iwatatomoya
0
210
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
2.4k
【Claude Code】鹿野さんに聞く 私の推しの並行開発環境 大公開 / claude-code-parallel-2026-07-15
tonkotsuboy_com
8
3.6k
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
410
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
3.5k
貴方はどのエンジニアリングを磨くのか
hatyibei
0
110
テスト設計の本質を改めて考えてみる~生成AIを活用する時代だからこそ、作ったテストの説明性を高めよう~
yamasaki696
1
420
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.4k
最適な自走を最小限の支援で — M&Aで拡大する組織で少人数SREが挑んだ1年 / SRE NEXT 2026
genda
0
810
ruby.wasmとPicoRuby.wasmに対応した仮想DOMライブラリを作ってる話 #kaigieffect_kaigi
sue445
PRO
0
110
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
4.4k
Featured
See All Featured
The Spectacular Lies of Maps
axbom
PRO
1
850
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.3k
Everyday Curiosity
cassininazir
0
250
HDC tutorial
michielstock
2
740
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
72
40k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.4k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
490
30 Presentation Tips
portentint
PRO
1
340
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
240
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.9k
The browser strikes back
jonoalderson
0
1.4k
Transcript
None
この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78
名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋
→いちおフリーだったんですが 諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78
トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78
4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
(;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78
脆弱性診断研究会#78
アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805
元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78
脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)
(修正できていない)
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =
OK ⇒検出できない! False-Negative 別のスキャナ(PoC) ⇒検出! Truth-Positive 再スキャン ⇒検出しない! ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知
脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~
4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
脆弱性診断研究会#78 16