shikata ga nai

Private? There is no such things.

脆弱性

ひきつづきCWE-IDをまとめていた

Hello there, ('ω')ノ 何をこだわっているのか、先週から何度もCWE-IDを追っかけて。 なんども構成図をやり直して。 ようやく、どうまとめてよいかのスタイルが確定してきて。 まだまだ、作業途中ではあるものの先は見えてきたので。 あとはゆっくりと正確に…

CWE-IDの構成について考えてみた

Hello there, ('ω')ノ CWE-IDの関連性を試行錯誤しながらまとめていると。 以前よりは、少しすっきりとしたような。 これまで、OWASP TOP10をベースにまとめようとしていたので混乱したようで。 あくまでもOWASP TOP10は、脆弱性をメンバーとしてまとめるよ…

CWD-IDを自分なりにまとめているところ

Hello there, ('ω')ノ このところ、ずっとCWE-ID漬けで。 自分なりにCWE-IDの関係性を納得できるように整理をしているものの先は見えず。 そろそろ整理の仕方や考え方、目的を変えるときにきたかと。 CWE-IDの先にはいろいろと考えていることがあって。 基本…

CWEの歩き方についてかいてみた

Hello there, ('ω')ノ 脆弱性診断をするには避けて通れないのがCWEで。 まずは、OWASP TOP 10から検索をして。 ここには見慣れたカテゴリが。 ここで、下記をクリックすると。 OWASP Top Ten 2017 Category A1 - Injection Injectionの詳細が表示されて。 さ…

安全でないオブジェクトの直接参照についてかいてみた

Hello there, どうやらbWAPPのメニューは、OWAPS TOP10 2010ベースのようで。 OWASPのページを見るとわかりやすく説明があって。 いきなりページから入るのではなく。 動きを把握してからページの内容を見たほうが理解しやすいかと。 https://www.owasp.org/…

CAPECについてかいてみた

Hello guys! CVEとCWE、CAPECの情報量をイメージで表すと以下のような。 CAPECのページを開くとどこかで見たようなレイアウト。 https://capec.mitre.org/index.html CWEと同じで。 よく見るとMITRE社の名前が。 どちらも出どころは同じのようで。 ならば、…

CWEの閲覧についてかいてみた

Hello guys! CVEからNVDやJVN iPediaなどを見ていると。 CWEのコードが表示されており。 脆弱性がどのカテゴリに分類されているかがわかってくるのかと。 CWEのページからだと。 CWEのコードで検索できたり。 カテゴリを全体的に把握したい場合は『CWE List…

JVNとJVN iPediaのリンクについてかいてみた

Hello guys! CVEとNVDの関係は分かりやすかったかと。 CVEが脆弱性情報をCVE-IDで一元管理しているので。 これがルートディレクトリのようなイメージで。 NVDは、そのCVEを脆弱性情報について詳細な情報を提供しており。 CVE⇨NVDといった流れのような。 同じ…

CVEとNVDのリンクについてかいてみた

hello guys! たとえば、下記のようなCVE-IDについてCVEとNVDの関係性をみていくと。 CVE-2007-5000 はじめにCVEのトップページの検索メニューから。 対象となる脆弱性のCVD-IDを入力して検索すると。 検索結果には、脆弱性の説明が書いてあって。 表示されて…

CAPECについて軽くふれてみた

Hello guys! CWEは、脆弱性をタイプ別に分類したもので。 例えば、ドキュメントを整理する際にフォルダ分けして整理したような。 さらには脆弱性が発生する原因について焦点を当てたような。 スコープも狭いイメージでして。 それとは別にCAPECは、脆弱性の…

CWEとCVSSについてまとめてみた

Hello guys! CVEで脆弱性情報はわかったものの。 量が量だけに多すぎて。 なので、カテゴリ別に分類がほしいところ。 そこでCWEの出番かと。 CWE Common Weakness Enumeration 共通脆弱性タイプ一覧 現時点だと、 ・ビュー(View) ┗ 22個 ・カテゴリー(Cat…

脆弱性情報データベースについてまとめてみた

Hello guys! 脆弱性情報については、いろんな用語がでており。 整理しないと混乱するのは目に見えており。 まずは、『CVE』から。 CVE Common Vulnerabilities and Exposures 米MITRE社が提供している脆弱性情報データベース。 ・CVE-ID 共通脆弱性識別子 『…

脆弱性診断のはじめの一歩

Hey guys! 脆弱性診断を実施したいものの想定以上にコストがかかったり... また、健康診断そのものなので定期的に実施する必要があります。 そのたびにさらにコストがかかるため、悩まれる方も少なくなかと。 ならば自社の社員で内製化ということも考える方…

脆弱性について整理してみた

脆弱性といわれても漢字の読み方からつまづいてしまう方もおられるのではないかと思います。 『ぜいじゃくせい』と読みます。 よくセミナー等へ行くと 脆弱性=プログラムのバグ と一言で済ます方もおられますが、プログラム開発経験者が聞くと少し違和感が…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain