スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(4)~Japan Vulnerability Notes(JVN)~【後編】

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(4)

内容:情報処理安全確保支援士 オンライン講習A
日時:2020年5月

Japan Vulnerability Notes(JVN)【後編】
  • 目標 IPA提供のツール「AppGoat」で学習できる脆弱性の種類と内容、ツールの利用方法を含め、セキュリティ人材育成に活用できるようになる
1章 脆弱性診断とは
  • 脆弱性診断
    • ツールを使う自動型
      • 典型的な攻撃パターンを効率的に実行
      • 機械的に診断が可能なため安価
      • 破壊型と非破壊型のツールが存在
    • 手動型
      • 柔軟な診断、細やかな検査が可能
      • 時間とコストがかかる
    • 通信監査型:ブラウザとウェブアプリケーション間でのやり取りされる通信を分析
  • 脆弱性は後工程になるほど修正の影響が大きくなる、事前に解消し攻撃に対するリスクを軽減する
2章 ウェブアプリケーションの脆弱性診断
  • 脆弱性の調査に有用なツール
    • Fiddler
      • ネットワークキャプチャツール
      • HTTPリクエストやレスポンスの確認や書き換えが可能
    • OpenVAS
      • 脆弱性診断ツール
      • WEBアプリだけでなくポートスキャン、OSやミドルウェアの調査も可能
    • OWASP ZAP
      • WEBアプリ脆弱性診断ツール
    • Nmap
      • ポートスキャンツール
      • OSやサービスの名前だけでなくバージョンも調査可能
3章 AppGoatの使用について
  • AppGoat:IPAが開発した脆弱性体験学習ツール
4章 脆弱性検査ツールMyJVN
  • MyJVN:ソフトウェアのバージョンを検査するツール「.NET」が必要
まとめ
  • 経営課題への対応
    • 脆弱性が発見されるリスクを考慮し脆弱性診断を行う
    • リリース前に脆弱性診断が行われているか監査を行う
  • システム等の設計・開発
    • セキュアコーディングを行う
    • 開発時にセキュリティテストを行い、脆弱性を作り込んでないことを確認
  • 運用・保守
    • セキュリティについて品質管理や情報収集を行う
    • 教育・啓発を行う
  • 緊急対応
    • 脆弱性によるインシデント対応の体制を用意する
    • 脆弱性の影響調査を行い、緊急での対応の必要性等について検討する

ラベル:

コメント

コメントを投稿

このブログの人気の投稿

sendmailでの転送設定

某システムにてメールを配信する機能を開発へ依頼。 受け取った後、PHPの mb_send_mail はsendmailが無いと動かない事実を伝えられる。 うちのメールサーバはPostfixですよ。。。 Σ(|||▽||| ) 仕方が無いので、WEBサーバにsendmailを立て DMZ 内のpostfixへリレーするようする。 意外と内部のメールサーバに転送する文献がなかったので、備忘録として残すことにした。 ■sendmail-cf-8.13.8-8.el5.i386.rpmのインストール 設定ファイルをコンパイルするm4コマンドを使う為に必要。     ・モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5         「sendmail-cf-8.13.8-8.el5」がインストールされていなければ以下を実施     ・パッケージのインストール           # rpm -ivh sendmail-cf-8.13.8-8.el5.i386.rpm     ・再度モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5 ■hostsファイルの確認           ・hostnameの確認           # hostname        ...
コメントを投稿
続きを読む

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...
コメントを投稿
続きを読む