Enviar pesquisa
Carregar
Owasp japan6th
•
9 gostaram
•
3,649 visualizações
M
Masakazu Ikeda
Seguir
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 27
Recomendados
Laravel LT night #1 で発表した資料です。
[Laravel] CRUDアプリから一歩踏み出す3つのアプローチ
[Laravel] CRUDアプリから一歩踏み出す3つのアプローチ
Kazuaki KURIU
Laravel Meetup Tokyo vol.4 での発表資料です。
3 tips of Laravel
3 tips of Laravel
Kazuaki KURIU
2015/11/24 ssmjpで「AIにWebアプリ診断をやらせてみる」と題してLTした際のスライド。
Aiにwebアプリ診断をやらせてみる
Aiにwebアプリ診断をやらせてみる
Isao Takaesu
ABC2011Summerの講演スライドです。 最後の2ページは講演後に追加しました。
App inventor20分勝負
App inventor20分勝負
Takeaki Tada
つ部 Android 勉強会 2013年9月 発表資料
つ部 Android 勉強会 2013年9月 発表資料
Kenji Nagase
ABC
ABC
Yumi Miyata
20160726 JAWS-UG OSAKA at ChuoDenryoku Co.,Ltd.
20160726 jaws ug osaka-kansai_girls_firstattack
20160726 jaws ug osaka-kansai_girls_firstattack
Daiki Mori
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Toshiaki Maki
Recomendados
Laravel LT night #1 で発表した資料です。
[Laravel] CRUDアプリから一歩踏み出す3つのアプローチ
[Laravel] CRUDアプリから一歩踏み出す3つのアプローチ
Kazuaki KURIU
Laravel Meetup Tokyo vol.4 での発表資料です。
3 tips of Laravel
3 tips of Laravel
Kazuaki KURIU
2015/11/24 ssmjpで「AIにWebアプリ診断をやらせてみる」と題してLTした際のスライド。
Aiにwebアプリ診断をやらせてみる
Aiにwebアプリ診断をやらせてみる
Isao Takaesu
ABC2011Summerの講演スライドです。 最後の2ページは講演後に追加しました。
App inventor20分勝負
App inventor20分勝負
Takeaki Tada
つ部 Android 勉強会 2013年9月 発表資料
つ部 Android 勉強会 2013年9月 発表資料
Kenji Nagase
ABC
ABC
Yumi Miyata
20160726 JAWS-UG OSAKA at ChuoDenryoku Co.,Ltd.
20160726 jaws ug osaka-kansai_girls_firstattack
20160726 jaws ug osaka-kansai_girls_firstattack
Daiki Mori
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Spring4とSpring Bootで作る次世代Springアプリケーション #jjug #jsug
Toshiaki Maki
2016/9/30に行われた「Android Testing Bootcamp #4」 http://android-testing-bootcamp.connpass.com/event/40464/ の発表資料です。
もしAppiumとディープラーニングを組み合わせたら
もしAppiumとディープラーニングを組み合わせたら
Nozomi Ito
最近のSpringFramework2013 #jjug #jsug #SpringFramework
最近のSpringFramework2013 #jjug #jsug #SpringFramework
Toshiaki Maki
2015/1/6のファンタラクティブ・オープンミーティングで使用したスライドです。
Foundation for Appsでザクザク作るモックアップ
Foundation for Appsでザクザク作るモックアップ
Keisuke Imura
地域リポーター養成講座 第3回
地域リポーター養成講座 第3回
地域リポーター養成講座 第3回
Terumasa Okabe
女性エンジニアがどんな日常を過ごしているかとか女性はエンジニアに向いているかどうかとか
女性エンジニアの1週間
女性エンジニアの1週間
x1 ichi
2016/10/1に開催された「第一回スタートアップiOS/Android勉強会」( http://connpass.com/event/40239/ )の発表資料です。
ディープラーニングとAppiumでテストを自動化
ディープラーニングとAppiumでテストを自動化
Nozomi Ito
2012年7月4日明治大学でのApp Inventor紹介の資料です。
App inventor for bussiness
App inventor for bussiness
Takeaki Tada
2015/3/19のtestips.io ( http://connpass.com/event/6022/ )で発表した内容です。
Appiumのテスト結果レポートをsahaginで作ってみる
Appiumのテスト結果レポートをsahaginで作ってみる
Nozomi Ito
第4回Seleniumユーザーコミュニティ勉強会の発表スライドです。 https://seleniumjp.connpass.com/event/45208/
ディープラーニングとAppiumでモバイルテスト自動化
ディープラーニングとAppiumでモバイルテスト自動化
Nozomi Ito
第3回Ques ~QAエンジニアのためのQA専門イベント~ 発表資料 http://atnd.org/event/ques3?vos=cpatnsoccap0111026001 http://quesqa.com/ iOSについても加筆、一部構成変更したものを公開しています システムテスト自動化カンファレンス2013 発表資料 http://www.slideshare.net/nowsprinting/starcon2013-mobile-testautomationkeynote6
第3回Ques ここからはじめる!Androidアプリのテスト自動化
第3回Ques ここからはじめる!Androidアプリのテスト自動化
Koji Hasegawa
2007-02-14(Wed). Developers Summit.
Archer
Archer
Tokuhiro Matsuno
JAWS DAYS 2016 発表資料
Device Farm を使ったスマホアプリの自動テスト
Device Farm を使ったスマホアプリの自動テスト
健一 辰濱
UCHINA IT Free者達’s 第2回ライトニングトーク大会
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
下記について記載。 OSコマンドインジェクション ローカルストレージへの機密情報の保持
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
渋谷Java#6 で発表した資料です。
Android meets RxJava - 渋谷Java#6
Android meets RxJava - 渋谷Java#6
yo_waka
2013/2/15に目黒雅叙園で行われたデブサミ2013 15-A-7セッションの資料です。
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
Ryutaro YOSHIBA
Mais conteúdo relacionado
Mais procurados
2016/9/30に行われた「Android Testing Bootcamp #4」 http://android-testing-bootcamp.connpass.com/event/40464/ の発表資料です。
もしAppiumとディープラーニングを組み合わせたら
もしAppiumとディープラーニングを組み合わせたら
Nozomi Ito
最近のSpringFramework2013 #jjug #jsug #SpringFramework
最近のSpringFramework2013 #jjug #jsug #SpringFramework
Toshiaki Maki
2015/1/6のファンタラクティブ・オープンミーティングで使用したスライドです。
Foundation for Appsでザクザク作るモックアップ
Foundation for Appsでザクザク作るモックアップ
Keisuke Imura
地域リポーター養成講座 第3回
地域リポーター養成講座 第3回
地域リポーター養成講座 第3回
Terumasa Okabe
女性エンジニアがどんな日常を過ごしているかとか女性はエンジニアに向いているかどうかとか
女性エンジニアの1週間
女性エンジニアの1週間
x1 ichi
2016/10/1に開催された「第一回スタートアップiOS/Android勉強会」( http://connpass.com/event/40239/ )の発表資料です。
ディープラーニングとAppiumでテストを自動化
ディープラーニングとAppiumでテストを自動化
Nozomi Ito
Mais procurados
(6)
もしAppiumとディープラーニングを組み合わせたら
もしAppiumとディープラーニングを組み合わせたら
最近のSpringFramework2013 #jjug #jsug #SpringFramework
最近のSpringFramework2013 #jjug #jsug #SpringFramework
Foundation for Appsでザクザク作るモックアップ
Foundation for Appsでザクザク作るモックアップ
地域リポーター養成講座 第3回
地域リポーター養成講座 第3回
女性エンジニアの1週間
女性エンジニアの1週間
ディープラーニングとAppiumでテストを自動化
ディープラーニングとAppiumでテストを自動化
Semelhante a Owasp japan6th
2012年7月4日明治大学でのApp Inventor紹介の資料です。
App inventor for bussiness
App inventor for bussiness
Takeaki Tada
2015/3/19のtestips.io ( http://connpass.com/event/6022/ )で発表した内容です。
Appiumのテスト結果レポートをsahaginで作ってみる
Appiumのテスト結果レポートをsahaginで作ってみる
Nozomi Ito
第4回Seleniumユーザーコミュニティ勉強会の発表スライドです。 https://seleniumjp.connpass.com/event/45208/
ディープラーニングとAppiumでモバイルテスト自動化
ディープラーニングとAppiumでモバイルテスト自動化
Nozomi Ito
第3回Ques ~QAエンジニアのためのQA専門イベント~ 発表資料 http://atnd.org/event/ques3?vos=cpatnsoccap0111026001 http://quesqa.com/ iOSについても加筆、一部構成変更したものを公開しています システムテスト自動化カンファレンス2013 発表資料 http://www.slideshare.net/nowsprinting/starcon2013-mobile-testautomationkeynote6
第3回Ques ここからはじめる!Androidアプリのテスト自動化
第3回Ques ここからはじめる!Androidアプリのテスト自動化
Koji Hasegawa
2007-02-14(Wed). Developers Summit.
Archer
Archer
Tokuhiro Matsuno
JAWS DAYS 2016 発表資料
Device Farm を使ったスマホアプリの自動テスト
Device Farm を使ったスマホアプリの自動テスト
健一 辰濱
UCHINA IT Free者達’s 第2回ライトニングトーク大会
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
下記について記載。 OSコマンドインジェクション ローカルストレージへの機密情報の保持
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
渋谷Java#6 で発表した資料です。
Android meets RxJava - 渋谷Java#6
Android meets RxJava - 渋谷Java#6
yo_waka
2013/2/15に目黒雅叙園で行われたデブサミ2013 15-A-7セッションの資料です。
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
Ryutaro YOSHIBA
Semelhante a Owasp japan6th
(10)
App inventor for bussiness
App inventor for bussiness
Appiumのテスト結果レポートをsahaginで作ってみる
Appiumのテスト結果レポートをsahaginで作ってみる
ディープラーニングとAppiumでモバイルテスト自動化
ディープラーニングとAppiumでモバイルテスト自動化
第3回Ques ここからはじめる!Androidアプリのテスト自動化
第3回Ques ここからはじめる!Androidアプリのテスト自動化
Archer
Archer
Device Farm を使ったスマホアプリの自動テスト
Device Farm を使ったスマホアプリの自動テスト
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
Android meets RxJava - 渋谷Java#6
Android meets RxJava - 渋谷Java#6
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
ワンクリックデプロイ 〜いつまで手でデプロイしてるんですか〜 #devsumiA
Owasp japan6th
1.
自動検査ツールでは 発見できない脆弱性 2013/6/13 OWASP JAPAN
6th Local Chapter Meeting Ikeda Masakazu 13年6月14日金曜日
2.
ikepyonについて 仕事は、Webアプリの自動セキュリティ検査ツール売ってます 一度、Webアプリのセキュリティ検査に飽きて会社辞めました なのに、なぜかまたWebアプリのセキュリティ検査やってますorz Twitter(@ikepyon)でたまにつぶやいてます。 Webアプリの自動検査ツールを試しに作ったことがあります。動作検証用 なのであんまり使えませんorz http://webappsec.sakura.ne.jp/modules/wfdownloads/ singlefile.php?cid=2&lid=6 13年6月14日金曜日
3.
自動検査ツールでは 発見できない バックドアの作り方 13年6月14日金曜日
4.
Agenda Webアプリ脆弱性検査ツールの仕組み 検出できない脆弱性 13年6月14日金曜日
5.
Webアプリ脆弱性検査ツールの仕組み 13年6月14日金曜日
6.
Webアプリ脆弱性検査ツールの仕組み 商用ツール Acunetix AppScan Burp WebInspect Vex フリーツール ZAP Paros 13年6月14日金曜日
7.
Webアプリ脆弱性検査ツールの仕組み 検査ツール ブラウザWebアプリ リクエスト/レスポンス を記録 リクエストを送信リクエストを送信 13年6月14日金曜日
8.
Webアプリ脆弱性検査ツールの仕組み 検査ツールWebアプリ 記録したリクエストを基に テストリクエストを作成 テストリクエストを送信 記録したリクエストのパラメータ・Cookieをテストパターンに変 えて送信 帰ってきたレスポンスを見て脆弱性の有無を判断 判定方法は、基本的に2個 リクエスト記録時のレスポンスと比較 レスポンスで特定の文字列を検索 13年6月14日金曜日
9.
検出できない脆弱性 13年6月14日金曜日
10.
検出できない脆弱性 脆弱性の仕組み上ツールだけでは検出できない脆 弱性 アプリの仕様によって検出できない脆弱性 13年6月14日金曜日
11.
脆弱性の仕組み上ツールだけでは 検出できない脆弱性 クロスサイト・リクエスト・フォージェリ (CSRF) メールヘッダインジェクション ビジネスロジックに起因する脆弱性 13年6月14日金曜日
12.
アプリの仕様によって 検出できない脆弱性 入力したデータを処理するページが数ページ後にあり、そこに脆弱性があ る場合 CAPTCHAやワンタイムパスワードを使用しているリクエストの検査 同じ処理が何度も実行できない場合 複数のパラメータを利用して発生する脆弱性 ゲームのように同じリクエストに対して一定のレスポンスを返さない場合 13年6月14日金曜日
13.
アプリの仕様によって 検出できない脆弱性 入力したデータを処理するページが数ページ後あ り、そこに脆弱性がある場合 13年6月14日金曜日
14.
アプリの仕様によって 検出できない脆弱性 入力したデータを処理するページが数ページ後あ り、そこに脆弱性がある場合 攻撃パターン を入力 13年6月14日金曜日
15.
アプリの仕様によって 検出できない脆弱性 入力したデータを処理するページが数ページ後あ り、そこに脆弱性がある場合 攻撃パターン を入力 攻撃が成功 13年6月14日金曜日
16.
アプリの仕様によって 検出できない脆弱性 入力したデータを処理するページが数ページ後あ り、そこに脆弱性がある場合 ほとんどのツールはテストリクエストを送信し た時のレスポンスしか確認しない 一部ツールはどのレスポンスを確認するか指定 できるが、どこに脆弱性があると考えられる か事前に知っておく必要がある 13年6月14日金曜日
17.
アプリの仕様によって 検出できない脆弱性 CAPTCHAやワンタイムパスワードを使用している リクエストの検査 2要素認証のあるアプリ 会員登録 13年6月14日金曜日
18.
アプリの仕様によって 検出できない脆弱性 CAPTCHAやワンタイムパスワードを使用している リクエストの検査 検査には記録したときのパラメータの値か、レ スポンスに含まれる文字列を値に使用する 画像やメールなどから送信するパラメータの値 を取得することは出来ない 13年6月14日金曜日
19.
アプリの仕様によって 検出できない脆弱性 同じ処理が何度も実行できない場合 パスワードの定期的変更処理 抽選を行うアプリ 13年6月14日金曜日
20.
アプリの仕様によって 検出できない脆弱性 同じ処理が何度も実行できない場合 記録したリクエストを再送するので、記録時に 必ず処理を行う 1度送信されたテストリクエストで処理をして しまうと、以降テストリクエストを送信して も、実際には処理が行われないため脆弱性が あっても検出できない 13年6月14日金曜日
21.
アプリの仕様によって 検出できない脆弱性 複数のパラメータを利用して発生する脆弱性 不完全なShiftーJISを使用したXSS パスワード変更処理における新パスワードと確 認用パスワードにある脆弱性 13年6月14日金曜日
22.
アプリの仕様によって 検出できない脆弱性 複数のパラメータを利用して発生する脆弱性 検査ツールでは、 一つのパラメータのみをテ ストデータに置き換える 同時にパラメータを変更する必要がある脆弱性 は検出できない 13年6月14日金曜日
23.
アプリの仕様によって 検出できない脆弱性 同じリクエストを送信した場合、一定のレスポン スを返さない場合 ブラウザゲーム 13年6月14日金曜日
24.
アプリの仕様によって 検出できない脆弱性 同じリクエストを送信した場合、一定のレスポン スを返さない場合 記録したときのレスポンスとテストレスポンス を比較して脆弱性を検出するので、レスポンス がリクエスト毎に変わるとFalse Positive、False Negativeが多い 13年6月14日金曜日
25.
まとめ ツールでは脆弱性を検出できない場合があるので ツールによる脆弱性検査を過信してはいけない 必要に応じて手動で検査がする必要がある ツールによる検査の省力化は十分有用なのでツー ルと手動のよいところを組み合わせるのがよい 13年6月14日金曜日
26.
まとめ 脆弱性検査ツールのご利用は計画的に 13年6月14日金曜日
27.
ご静聴 ありがとうございました 13年6月14日金曜日