ichikaway, profile picture
Uploaded byichikaway
PDF, PPTX18,212 views

脆弱性もバグ、だからテストしよう PHPカンファンレス2015

脆弱性もバグ、だからテストしよう PHPカンファンレス2015

Embed presentation

Download as PDF, PPTX
Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性もバグ、だからテストしよう   PHP  Conference  Tokyo  2015 2015/10/03 1 株式会社ビットフォレスト   市川 https://joind.in/talk/view/15324
Copyright  (c)    Bitforest  Co.,  Ltd.   2 • @cakephper / @ichikaway • プログラマー / プロダクトマネージャ • PHPカンファレンス福岡 実行委員長 自己紹介
Copyright  (c)    Bitforest  Co.,  Ltd.   テストの普及 • 不具合の検出   • 再発防止   • リファクタリング・アップデート 3
Copyright  (c)    Bitforest  Co.,  Ltd.   忘れがちなテスト • セキュリティテスト   • 今回はWebの脆弱性検査の話   • パフォーマンステスト   • loader.ioなど 4
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティ事故の影響 • 情報漏洩   • 改竄、マルウェアの配布   • 他サイトへのリスト型攻撃に悪用 5 損害賠償、2次被害など影響が大きい
Copyright  (c)    Bitforest  Co.,  Ltd.   6 バグ(脆弱性)を   テストして   立ち向かおう
Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  Brakeman,  Parse)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 7
Copyright  (c)    Bitforest  Co.,  Ltd.   OWASP ZAP 8
Copyright  (c)    Bitforest  Co.,  Ltd.   資料 • Web(IPA)   • 安全なウェブサイトの作り方   • 安全なSQLの呼び出し方   • ウェブ健康診断仕様   • 書籍   • 安全なWebアプリケーションの作り方 9
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 10 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
Copyright  (c)    Bitforest  Co.,  Ltd.   11 理想的には   開発初期から   リリース後まで
Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 15 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • 設定項目が多くノウハウを貯める必要   • 環境構築・運用コスト   • CIのフローに乗せるのが大変 16
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの重要な点 17 アプリケーションの動作を   把握した検査
Copyright  (c)    Bitforest  Co.,  Ltd.   18 ツールの設定を常に   学び続けて使わないと効果が少ない ビジネスに関わる開発に   注力できない・・・ 継続的Webセキュリティテストの課題
Copyright  (c)    Bitforest  Co.,  Ltd.   19 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
Copyright  (c)    Bitforest  Co.,  Ltd.   20 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
Copyright  (c)    Bitforest  Co.,  Ltd.   21 継続的Webセキュリティテストサービス http://vaddy.net/   無料で何度でも検査可能
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • ブラックボックスのWeb脆弱性診断   • インストール不要(SaaS)   • CI連携を前提に設計   • WebAPI連携   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 22
Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 23
Copyright  (c)    Bitforest  Co.,  Ltd.   HipChat通知 24
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 25 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるように
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 26 機械学習を使った   セキュリティ検査の   エンジンを独自開発
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 27 開発者が   開発に注力できるように!
Copyright  (c)    Bitforest  Co.,  Ltd.   28 継続的な   セキュリティテストで   安心してリリースすることが   今後のトレンドになる
Copyright  (c)    Bitforest  Co.,  Ltd.   29 まずは   VAddyやOWASP  ZAP   を使って評価   小さく初めてみる
Copyright  (c)    Bitforest  Co.,  Ltd.   30 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) DEMO
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy DEMO 31
Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 32
Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 33
Copyright  (c)    Bitforest  Co.,  Ltd.   34 ご清聴   ありがとうございました https://joind.in/talk/view/15324

More Related Content

PPTX
Behat Driven Development
byRyo Tomidokoro
 
PDF
いまどきのPHP開発現場 -2015年秋-
byMasashi Shinbara
 
PDF
Drupal 8 - モダンなアーキテクチャのPHPベースOSS CMS
byTomoki Hasegawa
 
PDF
サンタクロースを支えるIT技術 @M_Ishikawa #yapcasia
byMasayuki Ishikawa
 
PDF
phpspecで始めるBDD
byYuuki Takezawa
 
PDF
PHPデプロイツールの世界
byYuuki Takezawa
 
PDF
Laravel5.1 Release
byYuuki Takezawa
 
PDF
FuelPHP活用事例
byYusuke Naka
 
Behat Driven Development
byRyo Tomidokoro
 
いまどきのPHP開発現場 -2015年秋-
byMasashi Shinbara
 
Drupal 8 - モダンなアーキテクチャのPHPベースOSS CMS
byTomoki Hasegawa
 
サンタクロースを支えるIT技術 @M_Ishikawa #yapcasia
byMasayuki Ishikawa
 
phpspecで始めるBDD
byYuuki Takezawa
 
PHPデプロイツールの世界
byYuuki Takezawa
 
Laravel5.1 Release
byYuuki Takezawa
 
FuelPHP活用事例
byYusuke Naka
 

What's hot

PDF
PHPUnit でテスト駆動開発を始めよう
byYuya Takeyama
 
PPTX
今日から始めるLaravel
byMasaru Matsuo
 
PDF
Pythonでブラウザをいっぱい動かしたい
byKameko Ohmura
 
PDF
PhpStormを使おう --高槻からは快速急行が早くなります #jbugj
byHisateru Tanaka
 
PDF
PHPの今とこれから2015
byRui Hirokawa
 
PDF
Laravel 5.1 LTSでサービスを作る
byinfinite_loop
 
PDF
ExcelとPythonによる社会インフラシステムの設定ファイルの自動生成
byFuminobu TAKEYAMA
 
PPTX
PHP x AWS でスケーラブルなシステムをつくろう
byTaiji INOUE
 
PDF
PHPとJavaScriptの噺
byShogo Kawahara
 
PDF
よりよいPHPUnitの実行方法を求めて
byAkio Ishida
 
PDF
Net commons3 開発環境
byTakako Miyagawa
 
KEY
最強のPHP統合開発環境 PHPStorm
by晃 遠山
 
PPTX
活動報告9 laravel5入門-
byvx-pc-club
 
PDF
Getting Started with Testing using PHPUnit
byAtsuhiro Kubo
 
PPT
PHP agile test tips
byTsutomu Chikuba
 
PDF
恋に落ちるデプロイツール
bytotty jp
 
PDF
Laravelのパッケージのテストに便利なパッケージ
byYuta Nagamiya
 
PPTX
Taming robotframework
by泰 増田
 
PDF
anyenv + phpenv + php-build が便利すぎる件
byy-uti
 
PDF
第21回関西PHP勉強会 ReactPHPは もっと流行って欲しい #phpkansai
byHisateru Tanaka
 
PHPUnit でテスト駆動開発を始めよう
byYuya Takeyama
 
今日から始めるLaravel
byMasaru Matsuo
 
Pythonでブラウザをいっぱい動かしたい
byKameko Ohmura
 
PhpStormを使おう --高槻からは快速急行が早くなります #jbugj
byHisateru Tanaka
 
PHPの今とこれから2015
byRui Hirokawa
 
Laravel 5.1 LTSでサービスを作る
byinfinite_loop
 
ExcelとPythonによる社会インフラシステムの設定ファイルの自動生成
byFuminobu TAKEYAMA
 
PHP x AWS でスケーラブルなシステムをつくろう
byTaiji INOUE
 
PHPとJavaScriptの噺
byShogo Kawahara
 
よりよいPHPUnitの実行方法を求めて
byAkio Ishida
 
Net commons3 開発環境
byTakako Miyagawa
 
最強のPHP統合開発環境 PHPStorm
by晃 遠山
 
活動報告9 laravel5入門-
byvx-pc-club
 
Getting Started with Testing using PHPUnit
byAtsuhiro Kubo
 
PHP agile test tips
byTsutomu Chikuba
 
恋に落ちるデプロイツール
bytotty jp
 
Laravelのパッケージのテストに便利なパッケージ
byYuta Nagamiya
 
Taming robotframework
by泰 増田
 
anyenv + phpenv + php-build が便利すぎる件
byy-uti
 
第21回関西PHP勉強会 ReactPHPは もっと流行って欲しい #phpkansai
byHisateru Tanaka
 

Viewers also liked

PDF
なぜ、PHPのmbstring.func_overloadをdeprecatedにするのに5年かかったのか? - 慢心、環境の違い
bysasezaki
 
PDF
PHP の GC の話
byy-uti
 
PPTX
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
byHiroshi Tokumaru
 
PPTX
知ってるようで意外と知らないPHPの便利関数
byWataru Terada
 
PDF
営業・運用を支える "気付ける" 管理画面
byMasao Maeda
 
PDF
みんなそろそろ707やめようぜ (;´Д`)
byYasutaka Hamada
 
PDF
PHP、おまえだったのか。 いつもHTTPメッセージを 運んでくれたのは。
bysasezaki
 
PPTX
Phpcon2015
byHiroshi Tokumaru
 
PPTX
PHPとシグナル、その裏側
bydo_aki
 
PDF
とある診断員とSQLインジェクション
byzaki4649
 
なぜ、PHPのmbstring.func_overloadをdeprecatedにするのに5年かかったのか? - 慢心、環境の違い
bysasezaki
 
PHP の GC の話
byy-uti
 
『例えば、PHPを避ける』以降PHPはどれだけ安全になったか
byHiroshi Tokumaru
 
知ってるようで意外と知らないPHPの便利関数
byWataru Terada
 
営業・運用を支える "気付ける" 管理画面
byMasao Maeda
 
みんなそろそろ707やめようぜ (;´Д`)
byYasutaka Hamada
 
PHP、おまえだったのか。 いつもHTTPメッセージを 運んでくれたのは。
bysasezaki
 
Phpcon2015
byHiroshi Tokumaru
 
PHPとシグナル、その裏側
bydo_aki
 
とある診断員とSQLインジェクション
byzaki4649
 

Similar to 脆弱性もバグ、だからテストしよう PHPカンファンレス2015

PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
脆弱性もバグ、だからテストしよう!
byichikaway
 
PDF
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
PDF
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
PDF
VAddy - CI勉強会 fukuoka
byichikaway
 
PDF
継続的セキュリティテストVaddy説明資料
byichikaway
 
PDF
phpcon kansai 20140628
byichikaway
 
PPTX
Vaddyサービス説明資料
bykatsuya nishino
 
PDF
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
PDF
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
PPT
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
PDF
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
bySen Ueno
 
PDF
とある診断員と色々厄介な脆弱性達
byzaki4649
 
ODP
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
PDF
"Continuous Publication" with Python: Another Approach
byDaisuke Miyakawa
 
PPTX
20170325 institute of-vulnerability_assessment
byhogehuga
 
PDF
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
PDF
2019 0521 f-secure_radar_for_jaws-ug_yokohama
byShinichiro Kawano
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
脆弱性もバグ、だからテストしよう!
byichikaway
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
VAddy - CI勉強会 fukuoka
byichikaway
 
継続的セキュリティテストVaddy説明資料
byichikaway
 
phpcon kansai 20140628
byichikaway
 
Vaddyサービス説明資料
bykatsuya nishino
 
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
bySen Ueno
 
とある診断員と色々厄介な脆弱性達
byzaki4649
 
ライブコーディングとデモで理解するWebセキュリティの基礎
byTakahisa Kishiya
 
"Continuous Publication" with Python: Another Approach
byDaisuke Miyakawa
 
20170325 institute of-vulnerability_assessment
byhogehuga
 
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
2019 0521 f-secure_radar_for_jaws-ug_yokohama
byShinichiro Kawano
 

More from ichikaway

PDF
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
PDF
Understanding Computer Architecture with NES Emulator
byichikaway
 
PDF
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
PDF
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
PDF
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
PDF
現場で使える脆弱性検査サービス VAddy
byichikaway
 
PDF
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
PDF
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
PDF
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
PDF
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
PDF
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
PDF
VAddy at LL Diver LT
byichikaway
 
PDF
福岡xTwilio twilio meetup
byichikaway
 
PDF
Nginxを使ったオレオレCDNの構築
byichikaway
 
PDF
phpcon2013 PHP x twilio
byichikaway
 
PDF
fukuokaphp7 PHP x twilio
byichikaway
 
PDF
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
PDF
CakePHP 1 to 2 Migration tips 100
byichikaway
 
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
Understanding Computer Architecture with NES Emulator
byichikaway
 
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
現場で使える脆弱性検査サービス VAddy
byichikaway
 
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
VAddy at LL Diver LT
byichikaway
 
福岡xTwilio twilio meetup
byichikaway
 
Nginxを使ったオレオレCDNの構築
byichikaway
 
phpcon2013 PHP x twilio
byichikaway
 
fukuokaphp7 PHP x twilio
byichikaway
 
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
CakePHP 1 to 2 Migration tips 100
byichikaway
 

脆弱性もバグ、だからテストしよう PHPカンファンレス2015

  • 1.
    Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性もバグ、だからテストしよう   PHP  Conference  Tokyo  2015 2015/10/03 1 株式会社ビットフォレスト   市川 https://joind.in/talk/view/15324
  • 2.
    Copyright  (c)    Bitforest  Co.,  Ltd.   2 • @cakephper / @ichikaway • プログラマー / プロダクトマネージャ • PHPカンファレンス福岡 実行委員長 自己紹介
  • 3.
    Copyright  (c)    Bitforest  Co.,  Ltd.   テストの普及 • 不具合の検出   • 再発防止   • リファクタリング・アップデート 3
  • 4.
    Copyright  (c)    Bitforest  Co.,  Ltd.   忘れがちなテスト • セキュリティテスト   • 今回はWebの脆弱性検査の話   • パフォーマンステスト   • loader.ioなど 4
  • 5.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティ事故の影響 • 情報漏洩   • 改竄、マルウェアの配布   • 他サイトへのリスト型攻撃に悪用 5 損害賠償、2次被害など影響が大きい
  • 6.
    Copyright  (c)    Bitforest  Co.,  Ltd.   6 バグ(脆弱性)を   テストして   立ち向かおう
  • 7.
    Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  Brakeman,  Parse)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 7
  • 8.
    Copyright  (c)    Bitforest  Co.,  Ltd.   OWASP ZAP 8
  • 9.
    Copyright  (c)    Bitforest  Co.,  Ltd.   資料 • Web(IPA)   • 安全なウェブサイトの作り方   • 安全なSQLの呼び出し方   • ウェブ健康診断仕様   • 書籍   • 安全なWebアプリケーションの作り方 9
  • 10.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 10 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
  • 11.
    Copyright  (c)    Bitforest  Co.,  Ltd.   11 理想的には   開発初期から   リリース後まで
  • 12.
    Copyright  (c)    Bitforest  Co.,  Ltd.   12 継続的な   セキュリティテスト   が必要
  • 13.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • Google   • GTAC  2013:  Finding  XSS  at  Google  Scale   • 社内で独自ツールを使ってチャレンジ中   • https://www.youtube.com/watch?v=rd5TZKRg-­‐lc 13
  • 14.
    Copyright  (c)    Bitforest  Co.,  Ltd.   世界の流れ • カーネギーメロン大学ソフトウェア工学部   • http://blog.sei.cmu.edu/post.cfm/security-­‐ continuous-­‐integration-­‐338 14
  • 15.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 15 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
  • 16.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • 設定項目が多くノウハウを貯める必要   • 環境構築・運用コスト   • CIのフローに乗せるのが大変 16
  • 17.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの重要な点 17 アプリケーションの動作を   把握した検査
  • 18.
    Copyright  (c)    Bitforest  Co.,  Ltd.   18 ツールの設定を常に   学び続けて使わないと効果が少ない ビジネスに関わる開発に   注力できない・・・ 継続的Webセキュリティテストの課題
  • 19.
    Copyright  (c)    Bitforest  Co.,  Ltd.   19 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
  • 20.
    Copyright  (c)    Bitforest  Co.,  Ltd.   20 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
  • 21.
    Copyright  (c)    Bitforest  Co.,  Ltd.   21 継続的Webセキュリティテストサービス http://vaddy.net/   無料で何度でも検査可能
  • 22.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • ブラックボックスのWeb脆弱性診断   • インストール不要(SaaS)   • CI連携を前提に設計   • WebAPI連携   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 22
  • 23.
    Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 23
  • 24.
    Copyright  (c)    Bitforest  Co.,  Ltd.   HipChat通知 24
  • 25.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 25 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるように
  • 26.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 26 機械学習を使った   セキュリティ検査の   エンジンを独自開発
  • 27.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 27 開発者が   開発に注力できるように!
  • 28.
    Copyright  (c)    Bitforest  Co.,  Ltd.   28 継続的な   セキュリティテストで   安心してリリースすることが   今後のトレンドになる
  • 29.
    Copyright  (c)    Bitforest  Co.,  Ltd.   29 まずは   VAddyやOWASP  ZAP   を使って評価   小さく初めてみる
  • 30.
    Copyright  (c)    Bitforest  Co.,  Ltd.   30 Vulnerability  Assessment  is  your  Buddy(脆弱性診断はあなたの相棒) DEMO
  • 31.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy DEMO 31
  • 32.
    Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 32
  • 33.
    Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 33
  • 34.
    Copyright  (c)    Bitforest  Co.,  Ltd.   34 ご清聴   ありがとうございました https://joind.in/talk/view/15324