Upgrade to Pro — share decks privately, control downloads, hide ads and more …

_脆弱性診断研究会_78_TruthPositiveのお話.pdf

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for zash_shibainu zash_shibainu
October 24, 2019
Technology
0
71

 _脆弱性診断研究会_78_TruthPositiveのお話.pdf

Avatar for zash_shibainu

zash_shibainu

October 24, 2019
Tweet

More Decks by zash_shibainu

See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
Avatar for zash_shibainu zash_shibainu
0
99
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
Avatar for zash_shibainu zash_shibainu
0
260
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
Avatar for zash_shibainu zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
Avatar for zash_shibainu zash_shibainu
1
530
【IaCC#2】DockerImageでアプリを配布しよう
Avatar for zash_shibainu zash_shibainu
1
240
【ええんやで#59】Mutillidaeのインストールを見よう
Avatar for zash_shibainu zash_shibainu
0
590
OWASP Top10-2017対応版Dockerイメージの使い方
Avatar for zash_shibainu zash_shibainu
1
960
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
Avatar for zash_shibainu zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
Avatar for zash_shibainu zash_shibainu
0
140

Other Decks in Technology

See All in Technology
ソフトバンク流!プラットフォームエンジニアリング実現へのアプローチ
Avatar for SoftBank Tech Night sbtechnight
1
200
Google系サービスで文字起こしから勝手にカレンダーを埋めるエージェントを作った話
Avatar for RisaTube risatube
0
190
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
Avatar for kt2 kt2mikan
0
200
めちゃくちゃ開発するQAエンジニアになって感じたメリットとこれからの課題感
Avatar for yama-cha-n ryuhei0000yamamoto
0
140
Postman v12 で変わる API開発ワークフロー (Postman v12 アップデート) / New API development workflow with Postman v12
Avatar for Yoichi Kawasaki yokawasa
0
150
OSC仙台プレ勉強会 AlmaLinuxとは
Avatar for koedoyoshida koedoyoshida
0
190
身体を持ったパーソナルAIエージェントの 可能性を探る開発
Avatar for yoko / Naoki Yokomachi yokomachi
1
130
AI時代の「本当の」ハイブリッドクラウド — エージェントが実現した、あの頃の夢
Avatar for Masahiko Ebisuda ebibibi
0
150
Sansanでの認証基盤内製化と移行
Avatar for SansanTech sansantech
PRO
0
590
エンジニアリングマネージャーの仕事
Avatar for YuheiNakasaka yuheinakasaka
0
110
【Oracle Cloud ウェビナー】【入門編】はじめてのOracle AI Data Platform - AIのためのデータ準備&自社用AIエージェントをワンストップで実現
Avatar for oracle4engineer oracle4engineer
PRO
1
170
ガバメントクラウドにおけるAWSの長期継続割引について
Avatar for takeda_h takeda_h
2
5.3k

Featured

See All Featured
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.2k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.4k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
130
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.1k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
160
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
Agile Leadership in an Agile Organization
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
110
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
480
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
220
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
150

Transcript

  1. None

  2. この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78

  3. 名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋

     →いちおフリーだったんですが   諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78

  4. トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78

  5. 4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  6. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  7. (;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78

  8. 脆弱性診断研究会#78

  9. アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805

  10. 元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78

  11. 脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)

    (修正できていない)

  12. よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78

  13. 脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =

    OK ⇒検出できない!  False-Negative 別のスキャナ(PoC)  ⇒検出!   Truth-Positive 再スキャン ⇒検出しない!  ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知

  14. 脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~

  15. 4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78

  16. 脆弱性診断研究会#78 16