shikata ga nai

Private? There is no such things.

脆弱性診断

nessusとzenmapをインストールしてみた

Hello there, ('ω')ノ Nessusは、インターネットまたはオフラインで接続して更新できて。 オフラインで更新するには、更新パッケージをダウンロードする必要があるので。 手間のかからない更新だとインターネット接続のほうがよろしいかと。 前回、Linuxにイ…

脆弱性診断のプロセスについてまとめてみた

Hello there, ('ω')ノ 脆弱性診断といっても単にツールが使えて診断できるだけではビジネスにはならず。 プロセス管理というものが必要であって。 机上でシミュレーションしながら考えてまとめてみることに。 どのタイミングでどのようなドキュメントが発生…

脆弱性診断結果報告書について勉強してみた

Hello there, ('ω')ノ このところ、ずっと脆弱性診断結果報告書の書き方について勉強したりと。 まずは、項目の洗い出しから。 次にそれらの項目は、どの工程のタイミングで発生したものかを。 すると、 ヒヤリングシート ⇩ 診断実施計画書 ⇩ 診断結果報告書…

XST(Cross-Site Tracing)攻撃についてかいてみた

Hello there, これまで主要な脆弱性診断ばかりやってきたものの。 『脆弱性診断ガイドライン』をみると、他にもいろいろとあって。 ひとつひとつ丁寧につぶしていこうかなと。 『不要なHTTPメソッド』には、TRACEメソッドについて書かれており。 下記のよう…

OWASP TOP10と脆弱性診断ガイドラインを紐づけてみた

Hello there, 脆弱性診断となるといろんな参考資料があって。 内容を十分に理解している方であれば、すんなりとわかるかもしれませんが。 これからの方であれば、カテゴリ分けがまちまちなので。 頭の中がスパゲティ状態となったり。 さらには、ボリュームが…

脆弱性診断のヒヤリングシートについてかいてみた

Hello there, 脆弱性診断を実施する際に前準備というものが必要かと。 顧客相手にしても自社内にしても実施計画書はしっかりと作っておいたほうが。 実施計画書がOutput情報であれば。 それを作成する際のInput情報はヒヤリングシートであって。 そのように…

脆弱性診断実施の流れについてかいてみた

Hello there, 脆弱性診断には、大きく分けると自動(ツール)診断と手動診断とあって。 自動診断は誤検知もありますので、手動での検証が必要で。 手動診断においては、実施しながら検証も行うといった感じで。 自動診断ではレポートを出力する機能があるはず…

脆弱性診断スキルの身につけかたをかいてみた

Hello there, 実際に中小企業が、自社で脆弱性診断をしようとすると。 まっさきに思いつくのは、参考書だったり、セミナーだったり。 中小企業からするとセミナー料金は高額の領域だったりと。 仮にセミナーを受講させたところで。 セミナーで能力を身につけ…

Vegaをつかってみた

Hello there, 無料のスキャナーツールはいろいろとありまして。 SkipfishやWapitiなど。 ただ、性能はまちまちで。 ちょっとしたベンチマークテストを見ていると気になるツールもあって。 ZAPの結果は、以下のとおりでして。 Vegaの結果は、以下のとおりで。…

脆弱性診断のトレーニング環境についてかいてみた

Hello there, 脆弱性診断をするための前提知識を習得したら。 次は、脆弱性の種類について理解し。 どのように診断するかといった流れになるかと思いますが。 脆弱性診断をトレーニングする環境を並行して整えておくのもよいかと。 トレーニングサイトは、仮…

脆弱性診断の前提知識についてかいてみた

Hello there, セキュリティエンジニアが不足しているという中。 セキュリティに限らず、いろんなところで人で不足ではありますが。 出生率も減少しており、事態はさらに深刻化するのは目に見えており。 さて、ホワイトハッカーというとイメージもよさそうで…

やられサイトとウェブ健康診断について紐づけしてみた

Hello there, 海外には多くのやられサイトがあって。 それぞれに個性もあり。 わかりやすかったり。 わかりにくかったりと。 国内だとIPAがやられサイトらしきものを提供していたかと思いますが。 使ったことはなく。 IPAのウェブ健康診断の項目が海外のやら…

IPAウェブ健康診断項目とOWASP TOP10 2010を紐づけてみた

Hello there, そもそも下のような紐づけを行ったきっかけは。 bWAPPがOWASP TOP10 2010ベースだったためであり。 現在、IPAから出ているウェブ健康診断項目が含まれているかどうか。 を確認してみたかったからであって。 IPAウェブ健康診断項目から逆にOWASP…

sqlmapをインストールしてみた

Hello there, せっかくなのでKaliでsqlmapを使おうとすると。 sqlmapどころか。 gitも。 pythonも。 DockerからpullしたKaliには入っていなくて。 片っ端からインストールすることに。 まずは、gitをインストールして。 次にphythonをインストールして。 sql…

SQLインジェクションの診断対象についてかいてみた

hello guys! 以前に タイトル:『Bad StoreでSQLインジェクション診断対象』 で、SQLインジェクションの診断対象のポイントは。 入力したデータをもとに検索して照合してといった機能っぽい箇所ではないかと。 書いていたかと思いますが。 先日の タイトル:…

コロナを甘く見るな!ひとりひとりの自覚をもった行動で医療従事者を助けよう。

f:id:ThisIsOne:20200404115457p:plain