ichikaway, profile picture
Uploaded byichikaway
PDF, PPTX10,208 views

脆弱性もバグ、だからテストしよう!

脆弱性もバグ、だからテストしよう 継続的セキュリティテストサービスVAddy プレゼン資料

Embed presentation

Download as PDF, PPTX
Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性もバグ   だからテストしよう! 継続的セキュリティテストサービスVAddy 1 株式会社ビットフォレスト   市川
Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  brakeman)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 2
Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 3 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース リリース前に1度だけ脆弱性診断を 実施する場合の問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 診断会社を利用する場合   • 価格が高い(数十万円∼)   • 検査結果まで1週間以上かかる 4 継続的な利用が難しい
Copyright  (c)    Bitforest  Co.,  Ltd.   5 ユニットテストと同じく   開発初期から   リリース後まで
Copyright  (c)    Bitforest  Co.,  Ltd.   6 継続的な   セキュリティテスト   が必要
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 7 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • CIのフローに乗せるのが難しい   • 自分で環境構築・運用するコスト   • 設定項目が多くノウハウを貯める必要 8
Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 9 Webアプリケーションの動作を   検査ツールが把握して   検査できなければ   まったく意味がない
Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 10 例えば、   認証後の画面の検査で   セッション切れのため   ログイン画面に戻されて   ログイン画面にテストし続けてしまう
Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 11 セッションが切れて   ログアウトした場合の挙動を   ツールに設定する必要がある
Copyright  (c)    Bitforest  Co.,  Ltd.   12 ビジネスに関わる開発に   注力できない・・・ ツールの設定を常に   学び続けて使わないと効果が少ない 継続的Webセキュリティテストの課題
Copyright  (c)    Bitforest  Co.,  Ltd.   13 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
Copyright  (c)    Bitforest  Co.,  Ltd.   14 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
Copyright  (c)    Bitforest  Co.,  Ltd.   15 継続的Webセキュリティテストサービス http://vaddy.net
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • インストール不要(SaaS)   • 無料で何度でもスキャン実行可能   • CI連携可能   • WebAPI提供   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 16
Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 17
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 18 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるようにしています
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 19 開発者が   開発に注力できるように!
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 20 機械学習を使った   セキュリティ検査の   エンジンを独自開発
Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy検査結果一覧画面 21
Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 22 SQLインジェクションなどの脆弱性種類、対象のURL、問題 のあるパラメータ名が分かる。   この例だと、searchというURLで利用している、IDというパ ラメータにSQLインジェクションが存在するため、該当の ソースコードがすぐに把握できる。
Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 23 VAddyが送信した攻撃リクエストが分かるため、 開発環境で再現できる
Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン(Angular.jsも含め)   • SSL上のアプリケーション 24
Copyright  (c)    Bitforest  Co.,  Ltd.   25 継続的な   セキュリティテストが   今後のトレンドになる
Copyright  (c)    Bitforest  Co.,  Ltd.   26 http://vaddy.net

More Related Content

PDF
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
PPTX
Vaddyサービス説明資料
bykatsuya nishino
 
PDF
継続的セキュリティテストVaddy説明資料
byichikaway
 
PDF
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
PPTX
Vulsで始めよう!DevSecOps!
byTakayuki Ushida
 
PDF
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
PDF
VAddy - CI勉強会 fukuoka
byichikaway
 
PDF
phpcon kansai 20140628
byichikaway
 
Jenkinsを使った継続的セキュリティテスト
byichikaway
 
Vaddyサービス説明資料
bykatsuya nishino
 
継続的セキュリティテストVaddy説明資料
byichikaway
 
OWASPの歩き方(How to walk_the_owasp)
bySen Ueno
 
Vulsで始めよう!DevSecOps!
byTakayuki Ushida
 
継続的Webセキュリティテスト testing casual talks2
byichikaway
 
VAddy - CI勉強会 fukuoka
byichikaway
 
phpcon kansai 20140628
byichikaway
 

What's hot

PDF
とある診断員とAWS
byzaki4649
 
PDF
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
PPTX
SecurityCamp2015「バグハンティング入門」
byMasato Kinugawa
 
PDF
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
PDF
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
PDF
Owasp Project を使ってみた
byAkitsugu Ito
 
PDF
診断ツールの使い方(Owasp zapの場合)
byshingo inafuku
 
PDF
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
PPTX
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
PDF
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
PDF
RubyでDSL
byYukimitsu Izawa
 
PDF
MongoDBの脆弱性診断 - smarttechgeeks
bytobaru_yuta
 
PDF
Webアプリケーション脆弱性診断について
bytobaru_yuta
 
PPTX
これからのWebセキュリティ フロントエンド編 #seccamp
byKyo Ago
 
ODP
第8回脆弱性診断入門
byionis111
 
PDF
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
PPTX
Vuls×deep security
by一輝 長澤
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PPTX
Owasp top10 HandsOn
bymasafumi masutani
 
とある診断員とAWS
byzaki4649
 
なぜ自社で脆弱性診断を行うべきなのか
bySen Ueno
 
SecurityCamp2015「バグハンティング入門」
byMasato Kinugawa
 
脆弱性スキャナVuls(入門編)
byTakayuki Ushida
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
Owasp Project を使ってみた
byAkitsugu Ito
 
診断ツールの使い方(Owasp zapの場合)
byshingo inafuku
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
脆弱性スキャナVulsで始めるセキュリティ対策
byTakayuki Ushida
 
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
bytobaru_yuta
 
RubyでDSL
byYukimitsu Izawa
 
MongoDBの脆弱性診断 - smarttechgeeks
bytobaru_yuta
 
Webアプリケーション脆弱性診断について
bytobaru_yuta
 
これからのWebセキュリティ フロントエンド編 #seccamp
byKyo Ago
 
第8回脆弱性診断入門
byionis111
 
クラウドセキュリティ基礎 #seccamp
byMasahiro NAKAYAMA
 
Vuls×deep security
by一輝 長澤
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
Owasp top10 HandsOn
bymasafumi masutani
 

Viewers also liked

PDF
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
PPTX
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
PDF
130821 owasp zed attack proxyをぶん回せ
byMinoru Sakai
 
PDF
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
byIsao Takaesu
 
PDF
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
byMasafumi Oe
 
PPTX
Webアプリって奥が深いんです
byabend_cve_9999_0001
 
PDF
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
PDF
いまさら聞けないパスワードの取り扱い方
byHiroshi Tokumaru
 
PDF
Mozillaの報奨金制度で200万円ほど稼いだ話
byMuneaki Nishimura
 
PDF
【Hinemos World 2013】A-2:Hinemosへの取組み、関連ソリューションのご紹介(NECシステムテクノロジー株式会社/NECソフト株式会社)
byHinemos
 
PPT
Ipsj77フォレンジック研究動向
byUEHARA, Tetsutaro
 
PDF
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
byGehirn Inc.
 
PDF
脆弱性検査ツールってどうよ
byMasakazu Ikeda
 
PDF
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
byMinoru Sakai
 
PPTX
(Vulsで)脆弱性対策をもっと楽に!
byhogehuga
 
PPTX
クラウド事業者のためのクラウドセキュリティ(公開用)
byLumin Hacker
 
PDF
Atrandom.20101030
byYukio NAGAO
 
PDF
Firefoxの日和見暗号がカジュアルに無効化された話
byMuneaki Nishimura
 
PDF
Mozillaの報奨金制度で100万円ほど稼いだ話
byMuneaki Nishimura
 
フリーでやろうぜ!セキュリティチェック!
byzaki4649
 
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
130821 owasp zed attack proxyをぶん回せ
byMinoru Sakai
 
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
byIsao Takaesu
 
Shell shock事件が明らかにするあなたの組織における情報セキュリティ力
byMasafumi Oe
 
Webアプリって奥が深いんです
byabend_cve_9999_0001
 
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
いまさら聞けないパスワードの取り扱い方
byHiroshi Tokumaru
 
Mozillaの報奨金制度で200万円ほど稼いだ話
byMuneaki Nishimura
 
【Hinemos World 2013】A-2:Hinemosへの取組み、関連ソリューションのご紹介(NECシステムテクノロジー株式会社/NECソフト株式会社)
byHinemos
 
Ipsj77フォレンジック研究動向
byUEHARA, Tetsutaro
 
脆弱性分析のオートメーション化〜脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に〜
byGehirn Inc.
 
脆弱性検査ツールってどうよ
byMasakazu Ikeda
 
20131205 大阪 web制作者向け セキュリティセミナー~最近のWebサイト攻撃事例とキホン対策~
byMinoru Sakai
 
(Vulsで)脆弱性対策をもっと楽に!
byhogehuga
 
クラウド事業者のためのクラウドセキュリティ(公開用)
byLumin Hacker
 
Atrandom.20101030
byYukio NAGAO
 
Firefoxの日和見暗号がカジュアルに無効化された話
byMuneaki Nishimura
 
Mozillaの報奨金制度で100万円ほど稼いだ話
byMuneaki Nishimura
 

Similar to 脆弱性もバグ、だからテストしよう!

PDF
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
PDF
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
PDF
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
PPTX
【Explanatory material】Securify_v1.2.pptx
bymihokawagoe
 
PDF
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
PDF
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
PDF
【Securify】Partner program.pdf
bymihokawagoe
 
PPT
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
PDF
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 
脆弱性もバグ、だからテストしよう PHPカンファンレス2015
byichikaway
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
byichikaway
 
20171122_VAddyMeetUp_EC-CUBEでのVAddy活用事例
byEC-CUBE
 
【Explanatory material】Securify_v1.2.pptx
bymihokawagoe
 
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
脆弱性もバグ、だからテストしよう DevSummiFukuoka
byichikaway
 
【Securify】Partner program.pdf
bymihokawagoe
 
I-C-I Webセキュリティサービスのご紹介
byMitsuhiro Kouta
 
SecureAssist Introduction - アプリケーション・セキュリティを実現するベストプラクティスとは
byAsterisk Research, Inc.
 

More from ichikaway

PDF
Nginxを使ったオレオレCDNの構築
byichikaway
 
PDF
CakePHP 1 to 2 Migration tips 100
byichikaway
 
PDF
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
PDF
phpcon2013 PHP x twilio
byichikaway
 
PDF
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
PDF
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
PDF
VAddy at LL Diver LT
byichikaway
 
PDF
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
PDF
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
PDF
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
PDF
現場で使える脆弱性検査サービス VAddy
byichikaway
 
PDF
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
PDF
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
PDF
Understanding Computer Architecture with NES Emulator
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
PDF
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
PDF
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
PDF
fukuokaphp7 PHP x twilio
byichikaway
 
PDF
福岡xTwilio twilio meetup
byichikaway
 
PDF
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 
Nginxを使ったオレオレCDNの構築
byichikaway
 
CakePHP 1 to 2 Migration tips 100
byichikaway
 
ゼロから始めるファミコンエミュレータ生活 PHPerKaigi2019
byichikaway
 
phpcon2013 PHP x twilio
byichikaway
 
Hello, Worldまで3ヶ月 Golangでファミコンエミュレータ実装 #gocon fukuoka 2019
byichikaway
 
Vulnerabilities are bugs, Let's test for them!
byichikaway
 
VAddy at LL Diver LT
byichikaway
 
VAaddyとは VAddyミートアップvol3_20160629
byichikaway
 
forteeに脆弱性検査をかけてみた VAddy編
byichikaway
 
Yapc8oji: セキュリティテストサービスを開発運営してきた2年
byichikaway
 
現場で使える脆弱性検査サービス VAddy
byichikaway
 
VAddyの課金システムを Stripeに乗り換えた話
byichikaway
 
OS入門 Fukuoka.php vol.18 LT資料
byichikaway
 
Understanding Computer Architecture with NES Emulator
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会ワークショップ資料
byichikaway
 
CakePHPのレールの外し方 (CakePHP勉強会@uluru 20130419)
byichikaway
 
Ctf2015 ichikawa Eizoku PM2.5 dial
byichikaway
 
fukuokaphp7 PHP x twilio
byichikaway
 
福岡xTwilio twilio meetup
byichikaway
 
デザイナー、フロントエンジニア向けgithub勉強会資料 概要編
byichikaway
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 

脆弱性もバグ、だからテストしよう!

  • 1.
    Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性もバグ   だからテストしよう! 継続的セキュリティテストサービスVAddy 1 株式会社ビットフォレスト   市川
  • 2.
    Copyright  (c)    Bitforest  Co.,  Ltd.   Webセキュリティテスト • ホワイトボックス   • ソースコード解析(ex.  brakeman)   • ブラックボックス   • 攻撃用HTTPリクエストを送信してレスポ ンスを確認   • ex.  VAddy,  OWASP  ZAP,  AppScan 2
  • 3.
    Copyright  (c)    Bitforest  Co.,  Ltd.   セキュリティテスト 現状の問題点 3 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース リリース前に1度だけ脆弱性診断を 実施する場合の問題点   ! • リリース直前に大量の脆弱性発見   • スケジュール遅延   • リリース後の修正・機能追加   • 診断が難しい(コスト・期間)
  • 4.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 診断会社を利用する場合   • 価格が高い(数十万円∼)   • 検査結果まで1週間以上かかる 4 継続的な利用が難しい
  • 5.
    Copyright  (c)    Bitforest  Co.,  Ltd.   5 ユニットテストと同じく   開発初期から   リリース後まで
  • 6.
    Copyright  (c)    Bitforest  Co.,  Ltd.   6 継続的な   セキュリティテスト   が必要
  • 7.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテスト 7 開発チーム 外部の診断会社   社内の専門チーム コーディング 単体テスト 結合テスト 脆弱性診断 開発チーム 修正 リリース 継続的セキュリティテスト 開発チーム コーディング 単体テスト 結合テスト リリース 脆弱性診断 本リリース前には、診断会社の診断を。
  • 8.
    Copyright  (c)    Bitforest  Co.,  Ltd.   継続的Webセキュリティテストの課題 • 既存のツールを使う場合   • CIのフローに乗せるのが難しい   • 自分で環境構築・運用するコスト   • 設定項目が多くノウハウを貯める必要 8
  • 9.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 9 Webアプリケーションの動作を   検査ツールが把握して   検査できなければ   まったく意味がない
  • 10.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 10 例えば、   認証後の画面の検査で   セッション切れのため   ログイン画面に戻されて   ログイン画面にテストし続けてしまう
  • 11.
    Copyright  (c)    Bitforest  Co.,  Ltd.   重要ポイント 11 セッションが切れて   ログアウトした場合の挙動を   ツールに設定する必要がある
  • 12.
    Copyright  (c)    Bitforest  Co.,  Ltd.   12 ビジネスに関わる開発に   注力できない・・・ ツールの設定を常に   学び続けて使わないと効果が少ない 継続的Webセキュリティテストの課題
  • 13.
    Copyright  (c)    Bitforest  Co.,  Ltd.   13 簡単に導入   運用が不要
 効果的な検査
 CIサイクルに組込み
  • 14.
    Copyright  (c)    Bitforest  Co.,  Ltd.   14 継続的Webセキュリティテストサービス Vulnerability  Assessment  is  your  Buddy   (脆弱性診断はあなたの相棒)
  • 15.
    Copyright  (c)    Bitforest  Co.,  Ltd.   15 継続的Webセキュリティテストサービス http://vaddy.net
  • 16.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 • インストール不要(SaaS)   • 無料で何度でもスキャン実行可能   • CI連携可能   • WebAPI提供   • Jenkinsプラグイン   • Travis,  CircleCI,  etc  連携可能 16
  • 17.
    Copyright  (c)    Bitforest  Co.,  Ltd.   よくある構成 17
  • 18.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 18 特別な設定なしでVAddyが
 アプリケーションの動作を理解して   正確に検査できるようにしています
  • 19.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyのポリシー 19 開発者が   開発に注力できるように!
  • 20.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddyの特徴 20 機械学習を使った   セキュリティ検査の   エンジンを独自開発
  • 21.
    Copyright  (c)    Bitforest  Co.,  Ltd.   VAddy検査結果一覧画面 21
  • 22.
    Copyright  (c)    Bitforest  Co.,  Ltd.   脆弱性の種類、問題のパラメータ名 22 SQLインジェクションなどの脆弱性種類、対象のURL、問題 のあるパラメータ名が分かる。   この例だと、searchというURLで利用している、IDというパ ラメータにSQLインジェクションが存在するため、該当の ソースコードがすぐに把握できる。
  • 23.
    Copyright  (c)    Bitforest  Co.,  Ltd.   再現用の攻撃リクエスト 23 VAddyが送信した攻撃リクエストが分かるため、 開発環境で再現できる
  • 24.
    Copyright  (c)    Bitforest  Co.,  Ltd.   現状、可能な検査(SQLi, XSS) • GET/POST/PUT/DELETEのパラメータの検査   • RestAPI対応、パラメータがJSON対応   • URLパスのパラメータ検査   • www.example.com/item/view/1   • フォーム認証(ログイン画面)   • CSRF対策トークン(Angular.jsも含め)   • SSL上のアプリケーション 24
  • 25.
    Copyright  (c)    Bitforest  Co.,  Ltd.   25 継続的な   セキュリティテストが   今後のトレンドになる
  • 26.
    Copyright  (c)    Bitforest  Co.,  Ltd.   26 http://vaddy.net