shikata ga nai

Private? There is no such things.

脆弱性

安全でないオブジェクトの直接参照についてかいてみた

Hello there, どうやらbWAPPのメニューは、OWAPS TOP10 2010ベースのようで。 OWASPのページを見るとわかりやすく説明があって。 いきなりページから入るのではなく。 動きを把握してからページの内容を見たほうが理解しやすいかと。 https://www.owasp.org/…

CAPECについてかいてみた

Hello guys! CVEとCWE、CAPECの情報量をイメージで表すと以下のような。 CAPECのページを開くとどこかで見たようなレイアウト。 https://capec.mitre.org/index.html CWEと同じで。 よく見るとMITRE社の名前が。 どちらも出どころは同じのようで。 ならば、…

CWEの閲覧についてかいてみた

Hello guys! CVEからNVDやJVN iPediaなどを見ていると。 CWEのコードが表示されており。 脆弱性がどのカテゴリに分類されているかがわかってくるのかと。 CWEのページからだと。 CWEのコードで検索できたり。 カテゴリを全体的に把握したい場合は『CWE List…

JVNとJVN iPediaのリンクについてかいてみた

Hello guys! CVEとNVDの関係は分かりやすかったかと。 CVEが脆弱性情報をCVE-IDで一元管理しているので。 これがルートディレクトリのようなイメージで。 NVDは、そのCVEを脆弱性情報について詳細な情報を提供しており。 CVE⇨NVDといった流れのような。 同じ…

CVEとNVDのリンクについてかいてみた

hello guys! たとえば、下記のようなCVE-IDについてCVEとNVDの関係性をみていくと。 CVE-2007-5000 はじめにCVEのトップページの検索メニューから。 対象となる脆弱性のCVD-IDを入力して検索すると。 検索結果には、脆弱性の説明が書いてあって。 表示されて…

CAPECについて軽くふれてみた

Hello guys! CWEは、脆弱性をタイプ別に分類したもので。 例えば、ドキュメントを整理する際にフォルダ分けして整理したような。 さらには脆弱性が発生する原因について焦点を当てたような。 スコープも狭いイメージでして。 それとは別にCAPECは、脆弱性の…

CWEとCVSSについてまとめてみた

Hello guys! CVEで脆弱性情報はわかったものの。 量が量だけに多すぎて。 なので、カテゴリ別に分類がほしいところ。 そこでCWEの出番かと。 CWE Common Weakness Enumeration 共通脆弱性タイプ一覧 現時点だと、 ・ビュー(View) ┗ 22個 ・カテゴリー(Cat…

脆弱性情報データベースについてまとめてみた

Hello guys! 脆弱性情報については、いろんな用語がでており。 整理しないと混乱するのは目に見えており。 まずは、『CVE』から。 CVE Common Vulnerabilities and Exposures 米MITRE社が提供している脆弱性情報データベース。 ・CVE-ID 共通脆弱性識別子 『…

脆弱性診断のはじめの一歩

Hey guys! 脆弱性診断を実施したいものの想定以上にコストがかかったり... また、健康診断そのものなので定期的に実施する必要があります。 そのたびにさらにコストがかかるため、悩まれる方も少なくなかと。 ならば自社の社員で内製化ということも考える方…

脆弱性について整理してみた

脆弱性といわれても漢字の読み方からつまづいてしまう方もおられるのではないかと思います。 『ぜいじゃくせい』と読みます。 よくセミナー等へ行くと 脆弱性=プログラムのバグ と一言で済ます方もおられますが、プログラム開発経験者が聞くと少し違和感が…

コロナを甘く見るな!ひとりひとりの自覚をもった行動で医療従事者を助けよう。

f:id:ThisIsOne:20200404115457p:plain