Enviar pesquisa
Carregar
脆弱性診断って何をどうすればいいの?(おかわり)
•
3 gostaram
•
1,997 visualizações
脆弱性診断研究会
Seguir
脆弱性診断研究会 第35回セミナーで使用した資料です。 第34回と同じ内容だったので「おかわり」です。
Leia menos
Leia mais
Internet
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 32
Baixar agora
Baixar para ler offline
Recomendados
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
Recomendados
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
Sen Ueno
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
とある診断員とAWS
とある診断員とAWS
zaki4649
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
mkoda
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
CODE BLUE
XSS再入門
XSS再入門
Hiroshi Tokumaru
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
30分で分かる!OSの作り方 ver.2
30分で分かる!OSの作り方 ver.2
uchan_nos
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
崇 山﨑
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
CODE BLUE
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Maven基礎
Maven基礎
Toshio Takiguchi
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
Git入門
Git入門
小川 昌吾
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
Mais conteúdo relacionado
Mais procurados
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
mkoda
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
abend_cve_9999_0001
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Takayuki Ushida
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
CODE BLUE
XSS再入門
XSS再入門
Hiroshi Tokumaru
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
30分で分かる!OSの作り方 ver.2
30分で分かる!OSの作り方 ver.2
uchan_nos
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
崇 山﨑
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
CODE BLUE
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
abend_cve_9999_0001
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
CODE BLUE
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
kazkiti
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
Maven基礎
Maven基礎
Toshio Takiguchi
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
Git入門
Git入門
小川 昌吾
Mais procurados
(20)
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
脆弱性診断とはなんぞや
脆弱性診断とはなんぞや
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
フリーでできるセキュリティWeb編(SQLMあpを楽しもう)
脆弱性スキャナVulsで始めるセキュリティ対策
脆弱性スキャナVulsで始めるセキュリティ対策
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
Master Canary Forging: 新しいスタックカナリア回避手法の提案 by 小池 悠生 - CODE BLUE 2015
XSS再入門
XSS再入門
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
30分で分かる!OSの作り方 ver.2
30分で分かる!OSの作り方 ver.2
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
JaSST'15 Tokyo 初心者向けチュートリアル -初心者からの脱出!-
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
インサイドShell:.NETハッキング技術を応用したPowerShell可視性の向上 by 丹田 賢
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
フリーでできるWebセキュリティ(burp編)
フリーでできるWebセキュリティ(burp編)
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
最近のやられアプリを試してみた
最近のやられアプリを試してみた
セキュリティを楽しむ(CTFとbugbountyの始め方)
セキュリティを楽しむ(CTFとbugbountyの始め方)
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
Maven基礎
Maven基礎
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Git入門
Git入門
Destaque
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
Nigerian design and digital marketing agency
Nigerian design and digital marketing agency
Samson Aligba
Samsung mobile root
Samsung mobile root
Black Peacocks
Intro to linux performance analysis
Intro to linux performance analysis
Chris McEniry
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
Data Science London
History of L0phtCrack
History of L0phtCrack
cwysopal
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
Aziz Sasmaz
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Falgun Rathod
Dangerous google dorks
Dangerous google dorks
Witgie Solutions
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
n|u - The Open Security Community
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Giovanni Marco Dall'Olio
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Ravi Rajput
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
Raghav Bisht
Learning sed and awk
Learning sed and awk
Yogesh Sawant
Nmap Basics
Nmap Basics
amiable_indian
Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"
abend_cve_9999_0001
Destaque
(20)
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
天職の就き方 〜 ぼくらが旅に出る理由 Part 2 #ssmjp 1501
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Nigerian design and digital marketing agency
Nigerian design and digital marketing agency
Samsung mobile root
Samsung mobile root
Intro to linux performance analysis
Intro to linux performance analysis
Machine Learning and Hadoop: Present and Future
Machine Learning and Hadoop: Present and Future
History of L0phtCrack
History of L0phtCrack
VideoLan VLC Player App Artifact Report
VideoLan VLC Player App Artifact Report
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Open Source Security Testing Methodology Manual - OSSTMM by Falgun Rathod
Dangerous google dorks
Dangerous google dorks
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
How to Setup A Pen test Lab and How to Play CTF
How to Setup A Pen test Lab and How to Play CTF
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Thesis defence of Dall'Olio Giovanni Marco. Applications of network theory to...
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Nmap not only a port scanner by ravi rajput comexpo security awareness meet
Hacking in shadows By - Raghav Bisht
Hacking in shadows By - Raghav Bisht
Learning sed and awk
Learning sed and awk
Nmap Basics
Nmap Basics
Nmap 9 truth "Nothing to say any more"
Nmap 9 truth "Nothing to say any more"
Semelhante a 脆弱性診断って何をどうすればいいの?(おかわり)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
Shinichiro Kawano
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Akitsugu Ito
Mix Leap 0214 security
Mix Leap 0214 security
adachi tomohiro
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
CNNチュートリアル
CNNチュートリアル
Ikuro Sato
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
グローバルセキュリティエキスパート株式会社(GSX)
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
マジセミ by (株)オープンソース活用研究所
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
セキュキャンのススメ
セキュキャンのススメ
shutingrz
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
Shun Tsunoda
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
Lumin Hacker
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
robotcare
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
Kazumi Hirose
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
Naoya Maekawa
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
Hironori Washizaki
Semelhante a 脆弱性診断って何をどうすればいいの?(おかわり)
(20)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
cybozu.com Security Challenge 結果報告
cybozu.com Security Challenge 結果報告
Mix Leap 0214 security
Mix Leap 0214 security
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
CNNチュートリアル
CNNチュートリアル
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
20141018 osc tokyo2014講演(配布用)
20141018 osc tokyo2014講演(配布用)
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
セキュキャンのススメ
セキュキャンのススメ
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
アジャイルプラクティス導入事例
アジャイルプラクティス導入事例
クラウド移行で解決されるセキュリティとリスク
クラウド移行で解決されるセキュリティとリスク
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
ロボット介護機器設計支援ツール、中坊嘉宏(産総研)
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
INTEROP Tokyo 2015 C2-6 クラウド時代の運用技術と運用ビジネス最新動向 / The Technology and Business ...
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
組込みだからこそアジャイルやろうよ! (JASA中部セミナー20131004)
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
SQuaRE に基づくソフトウェア品質評価枠組みと品質実態調査
脆弱性診断って何をどうすればいいの?(おかわり)
1.
第35回 脆弱性診断ええんやで(^^) 「脆弱性診断って何をどうすればいいの?」 (おかわり) 脆弱性診断研究会 株式会社トレードワークス セキュリティ事業部
2.
Agenda u 脆弱性診断研究会とは u ⾃⼰紹介 u
OWASPって何? u 診断対象⾒積りの考え⽅ u 質疑応答
3.
脆弱性診断研究会とは 株式会社トレードワークスのセキュリティ事業部にて運営 Webアプリケーションやネットワーク機器などに対するセキュリティ診断 の最新⼿法や診断ツール使⽤法の勉強や研究をするためのコミュニティ コワーキングスペース茅場町 Co-Edo(コエド)様にて第1回セミナーを 2014年8⽉に開催して以来、2016年1⽉現在で31回のパブリックセミナー を実施 クライアント向けプライベートセミナーは年に数回実施
4.
⾃⼰紹介 松本 隆則 (まつもと
たかのり) u 株式会社トレードワークス セキュリティ事業部 https://security.twroks.co.jp/ u Facebook https://www.facebook.com/nilfigo u Twitter https://twitter.com/DYOH2017
5.
⾃⼰紹介 u 脆弱性診断研究会 管理⼈・セミナー講師 Ø
Facebook 公開グループ https://www.facebook.com/groups/zeijakusei.shindan.kenkyukai/ Ø Facebookコミュニティ https://www.facebook.com/sec.testing.study.session/ Ø セミナー・イベント管理サイト https://security-testing.doorkeeper.jp/ http://security-testing.connpass.com/
6.
⾃⼰紹介 u OWASP JAPAN
プロモーションチーム(new!) Ø https://www.owasp.org/index.php/Japan Ø http://blog.owaspjapan.org/
7.
OWASPって何? The Open Web
Application Security Project Let's know OWASP! https://speakerdeck.com/owaspjapan/lets-know-owasp-number-bpstudy20160226 ⼯程別活⽤可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference OWASPの歩き⽅ https://speakerdeck.com/owaspjapan/what-is-owasp-20160319innovationegg7th
8.
診断対象⾒積りの考え⽅ ⾼いのか安いのかわからん と評判の脆弱性診断のサー ビス価格の根拠ってなに?
9.
診断対象⾒積りの考え⽅ ⾒積りする前に、ある程度 脆弱性診断の仕組みを把握 しておけばイロイロ捗る!
10.
診断対象⾒積りの考え⽅ サービス価格⾒積り根拠の ⼀つである診断対象数の数 え⽅が今回のテーマです。
11.
診断対象⾒積りの考え⽅ 「診断リクエスト」 ↓ パラメーターを伴うリクエスト
12.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
13.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
14.
1. クエリー⽂字列 http://zsk.example/index.php?user=test&pswd=t est 診断対象パラメーター • user •
pswd
15.
1. クエリー⽂字列 例1 a.http://zsk.example/index.php? page=info.php&user=test&pswd=test b.http://zsk.example/index.php? next=info.php&user=test&pswd=test aとbは[page]と[next]パラメーターが異なるため、⼀般的 にはそれぞれ独⽴した診断リクエストとして数えます。
16.
1. クエリー⽂字列 例2 c.http://zsk.example/index.php? page=info.php&user=test&pswd=test d.http://zsk.example/index.php? user=test&pswd=test&page=info.php cとdは⼀⾒異なるパラメーター群に⾒えますが、並び順が異 なるだけで含まれているパラメーターは同⼀なため、ひとつ の診断リクエストとして数えます。
17.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
18.
2. HTTPリクエストボディ 画⾯上のフォーム POST http://zsk.example/index.php?page=login.php
HTTP/1.1 ... ... ... username=test&password=test&login-php-submit-button=Login
19.
3. ⾮同期通信 裏でこっそりサーバーに接続して、HTMLやXML、 JSONなどを取得して画⾯上に反映したりこっそり データを保存したり。 例) • 住所⾃動⼊⼒フォーム(郵便番号で検索) •
プルダウンリスト群の項⽬を⾃動変更
20.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
21.
4. HTTPリクエストヘッダー 上記の[Host]や[User-Agent]、[Cookie]といったHTTPリク エストヘッダーも診断対象パラメーターです。 ただし、実際に診断するかどうかはヘッダーの種類やWebア プリケーションの仕様により異なります。 GET /index.php?page=login.php
HTTP/1.1 Host: zsk.example User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ja Accept-Encoding: gzip, deflateDNT: 1 Referer: http://hoge/index.php?page=home.php&popUpNotificationCode=HPH0 Cookie: showhints=0; PHPSESSID=ddor943kfutdlp0dqu73va6io3 Connection: keep-alive
22.
4. HTTPリクエストヘッダー 例1 Cookieヘッダー n
ログイン処理が存在する Cookieにセッション情報を管理するための⽂字列(セッ ションID)が含まれることが多いため診断いたします。 n ログイン処理が存在しない(検索やお問い合わせなど) Cookieが発⾏されていてもWebアプリケーション内部で 使⽤していない可能性があるため診断対象としないことが あります。
23.
4. HTTPリクエストヘッダー 例2 User-Agentヘッダー サーバーへのアクセスがどのようなブラウザからであるかを 識別するために当ヘッダーを使⽤することがあります。識別 した結果、画⾯のレイアウトやメニュー構成などが変化する 場合は診断対象となります。 識別対象の例 •
パソコン • スマートフォン • フィーチャーフォン(ガラケー)
24.
パラメーター送信⽅法 1. クエリー⽂字列(Query string) 2.
HTTPリクエストボディ(POST) 3. ⾮同期通信 4. HTTPリクエストヘッダー 5. URLの⼀部がパラメーター
25.
5. URLの⼀部がパラメーター ユーザーの詳細情報を表⽰するためのURLの例です。 URLの⼀部に含まれている「123456」がユーザーIDを⽰しています。 そのため、この数字をパラメーターとみなして診断します。 敢えてクエリー⽂字列で表すと下記のような感じです。 http://zsk.example/user/detail/123456/ http://zsk.example/user/detail.php?id=123456
26.
5. URLの⼀部がパラメーター 例1 aとbは、URLとしては異なりますが、ユーザーIDが異なるだけでWeb アプリケーション内部では同⼀の処理と推測されるため、ひとつの診 断リクエストとして数えます。 ただし、リクエストの結果、⼤幅にメニュー構成やレイアウトなどが 異なる画⾯が表⽰される場合は、別の診断リクエストと⾒なす場合が あります。 a.
http://zsk.example/user/123456/detail/ b. http://zsk.example/user/987654/detail/
27.
5. URLの⼀部がパラメーター 例2 cとdでは、[〜user/123456/]までは同⼀のURLですが、その後に続く URLが異なるため、それぞれ別の診断リクエストとして数えます。 c.
http://zsk.example/user/123456/detail/ d. http://zsk.example/user/123456/edit/
28.
診断リクエストとパラメーター数の関係 作業⼯数やサービス価格の⾒積りのために 仮に下記のように定義します。 1 診断リクエスト ✕
5基本パラメーター → 1.00 基本診断ユニット 【ご注意】 上記のパラメーター数は本セミナー⽤に定義した仮の数値です。 弊社および私⾃⾝が実際にこの数値に基いて⾒積もりしているわけではありません。 また、診断対象Webアプリケーションの性質により基本パラメーター数は変動します。
29.
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 5基本パラメーター
→ 1.00 基本診断 上記の定義での算出例 1診断リクエスト ✕ 3パラメーター → 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断
30.
診断リクエストとパラメーター数の関係 1診断リクエスト ✕ 3パラメーター
→ 0.60 診断 1診断リクエスト ✕ 2パラメーター → 0.40 診断 1診断リクエスト ✕ 15パラメーター → 3.00 診断 合計 4.00 診断 仮に1診断リクエストの単価が10,000円で診断⼯数が1⽇とすると、3診断リクエストの 場合は「30,000円・3⽇」となるはずですが、実際の⾒積りは「40,000円・4⽇」とな ります。 お客様からすると「3画⾯なのに4画⾯分の料⾦と⼯数ってどういうこと!?」と不信に思 われるかもしれませんが、決してボッタクリではありません!
31.
次回予告 診断前の準備について • 診断⽤環境 • 実稼働環境 •
検証⽤環境 • 事前準備 • 事前の申請が必要かどうか(AWS、Azureなど) • 診断⽤データ • ユーザーアカウント(権限別に複数必要) • サイト上で閲覧および更新するデータ
32.
お問い合わせ先 株式会社トレードワークス セキュリティ事業部 https://security.tworks.co.jp/ メールアドレス • セキュリティ事業部
<sec-pit@tworks.co.jp> • 松本 隆則 <t.matsumoto@tworks.co.jp>
Baixar agora