$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
Search
zash_shibainu
October 24, 2019
Technology
0
66
_脆弱性診断研究会_78_TruthPositiveのお話.pdf
zash_shibainu
October 24, 2019
Tweet
Share
More Decks by zash_shibainu
See All by zash_shibainu
[OWASP-Connnect-2]Snakes_and_Laddersやってみた.pdf
zash_shibainu
0
96
【eLV-SEC-2】ボードゲームでセキュリティを学ぼう.pdf
zash_shibainu
0
260
_SEC共有_15_過去のインシデント事例から学ぶこと.pdf
zash_shibainu
0
430
_eLV_Web脆弱性を体験しよう.pdf
zash_shibainu
1
530
【IaCC#2】DockerImageでアプリを配布しよう
zash_shibainu
1
230
【ええんやで#59】Mutillidaeのインストールを見よう
zash_shibainu
0
570
OWASP Top10-2017対応版Dockerイメージの使い方
zash_shibainu
1
940
【ええんやで#57】他分野のプロから学ぶサイバーセキュリティ.pdf
zash_shibainu
1
150
没【ええんやで#57】2017年を振り返ってみる.pdf
zash_shibainu
0
140
Other Decks in Technology
See All in Technology
AI/MLのマルチテナント基盤を支えるコンテナ技術
pfn
PRO
5
720
Noを伝える技術2025: 爆速合意形成のためのNICOフレームワーク速習 #pmconf2025
aki_iinuma
2
1k
AI 時代のデータ戦略
na0
8
3.2k
freeeにおけるファンクションを超えた一気通貫でのAI活用
jaxx2104
3
600
なぜ使われないのか?──定量×定性で見極める本当のボトルネック
kakehashi
PRO
1
760
安いGPUレンタルサービスについて
aratako
1
1.6k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
48k
Oracle Cloud Infrastructure:2025年11月度サービス・アップデート
oracle4engineer
PRO
1
110
20251127 BigQueryリモート関数で作る、お手軽AIバッチ実行環境
daimatz
0
430
pmconf2025 - 他社事例を"自社仕様化"する技術_iRAFT法
daichi_yamashita
0
490
Security Diaries of an Open Source IAM
ahus1
0
110
Docker, Infraestructuras seguras y Hardening
josejuansanchez
0
140
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
Done Done
chrislema
186
16k
Being A Developer After 40
akosma
91
590k
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.8k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
10
700
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
We Have a Design System, Now What?
morganepeng
54
7.9k
Testing 201, or: Great Expectations
jmmastey
46
7.8k
Agile that works and the tools we love
rasmusluckow
331
21k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
How to Think Like a Performance Engineer
csswizardry
28
2.3k
Transcript
None
この資料の大半は、公開するのでガシガシメモらなく ておkです( ´∀`)b 個人情報あるとこだけご勘弁を… は撮影とかSNS禁止ページということで。 脆弱性診断研究会#78
名前 (ハンドル) 柴雑種 (汚いニンジャとは覚えないでください) 本名 柴田 諭史 仕事 ・3~4年プログラマ ・10年以上インフラ屋 ・ここ数年セキュリティ屋
→いちおフリーだったんですが 諸事情で今は派遣で SOCなのかアナリストなのか… 脆弱性診断研究会#78
トゥルース・ポジティブ(Truth Positive) トゥルース・ネガティブ(Truth Negatibe) フォールス・ポジティブ(False Positive) フォールス・ネガティブ(False Negative) 試験に出ます!! 脆弱性診断研究会#78
4つもありますが、表にしちゃえば覚えやすい、かも。 Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
(;´Д`) と言われても ようわからん… 何か事例ないんか? 脆弱性診断研究会#78
脆弱性診断研究会#78
アメリカ最大の信用情報会社Equifaxの情報漏洩事件 クレカとか作るときに、個人の信頼度とか測る会社 個人情報てんこ盛り… 漏洩件数:1.5億件弱(※カナダ等他国籍も含む) ⇒アメリカの人口が3億人ぐらいらしいです。 ※原因:Struts2の脆弱性(S2-045:JakartaParser) 脆弱性診断研究会#78 経緯とか事後処理とか詳しくは https://www.scientia-security.org/entry/2019/03/23/120805
元CEOが公聴会に召喚: 原因は大きく2点 一人の従業員のミス スキャナの不具合で 検出できなかった 脆弱性診断研究会#78
脆弱性発覚! スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 脆弱性診断研究会#78 修正実施 (これもしていない)
(修正できていない)
よくnilfigoさんが言われていること… 脆弱性を修正する前に 検出できるか確認するように! (Truth Positive) 脆弱性診断研究会#78
脆弱性発覚! 修正実施 スキャン実施 = OK ⇒False-Negative 侵入成功& データ取得 スキャン実施 =
OK ⇒検出できない! False-Negative 別のスキャナ(PoC) ⇒検出! Truth-Positive 再スキャン ⇒検出しない! ⇒Truth-Negative 脆弱性診断研究会#78 修正漏れもここで検知
脆弱性診断研究会#78 まあ修正の証明も、状態の変化が一番楽なので( ゚Д゚)y─┛~~
4つのキーワード、覚えて帰りましょう! Truth →正しい Positive →検出した(陽性) False →間違い Negative →検出しなかった(陰性) 脆弱性診断研究会#78
脆弱性診断研究会#78 16
zash_shibainu
pfn
aki_iinuma
na0
jaxx2104
kakehashi
.jpg){kind=avatar}
aratako
sansan33
oracle4engineer
daimatz
daichi_yamashita
ahus1
josejuansanchez
stephaniewalter
chrislema
akosma
sonatard
eileencodes
tammyeverts
tanoku
morganepeng
jmmastey
rasmusluckow
addyosmani
csswizardry
