Burp Suite HandsOn twitterまとめ

菅原 俊(192.168.7.21) @Shun_Sugawara

脆弱性診断士が負う守秘義務て法規定がないのか。これ法の不備じゃないの？ #burphandson

báihŭ @paihu

守秘義務は一般的なビジネス契約レベルで決めるものでは そもそも脆弱性診断士って(まだ？)法律上地位のあるものではないだろうし #burphandson

菅原 俊(192.168.7.21) @Shun_Sugawara

一般的なビジネス契約レベルの話にしてしまうと、民事になってしまうので。 #burphandson

菅原 俊(192.168.7.21) @Shun_Sugawara

10/12が残念ながら開発のスクラムイベントと衝突していて断念。 #burphandson

báihŭ @paihu

脆弱性診断士に関する法律が新たに作られることになれば 義務も定められるでしょうね。 技術士なんかは法律において守秘義務が定められていますし。 #burphandson

菅原 俊(192.168.7.21) @Shun_Sugawara

そそそ。診断士の給与を上げるためには士業として適切な規制を行い質の確保が必須で、その規制の一として守秘義務が課される様になるのが目指す方向じゃないの、という。 #burphandson

báihŭ @paihu

ですから現状は、法の不備ではなく、 まだ脆弱性診断士という士業を作るための準備段階というだけでは 士業になってしまえば、おそらく脆弱性診断士の資格を持っていない者が (業として)脆弱性診断を行うこと自体が法律違反になるでしょうし。 #burphandson

菅原 俊(192.168.7.21) @Shun_Sugawara

僕は「現状そうでは無いので、そうなるようしていくべきでは」と言っているので、問題意識は共有できてますよね。 #burphandson

Sen Ueno @sen_u

講義で紹介した10月12日の1日Webアプリケーション脆弱性診断講座はこちら。出版記念に今回だけの特別価格です。／上野宣が教える！脆弱性診断入門講座 bit.ly/2bNExoO #burphandson

とある診断員 @tigerszk

午後はburp suiteを利用してSQLiを探す演習でした！答え合わせの時間です。 #burphandson

とある診断員 @tigerszk

30人以上の参加の方がburp suiteを使って一斉に脆弱性を探している光景は中々圧巻でしたw #burphandson

báihŭ @paihu

ランダム文字列っぽいものがbase64エンコードされてる可能性みたいなのもさぐるとか 確かにわりとスキルによるんだろうなって #burphandson

báihŭ @paihu

owasp.org/index.php/Cate… これがCSRFTesterか #burphandson

báihŭ @paihu

自動化には不向きっぽいBurp Suite #burphandson

菅原 俊(192.168.7.21) @Shun_Sugawara

診断士のツールとしてのプロクシはアリだろうけど、開発者がCIで診断できる仕組みにはならないので辛いな。 #burphandson

ねぎ @GreenShallot

ハンズオンだったからつぶやいてなかったけど、ツールの使い方というよりは脆弱性診断にいろいろ考えさせられるものがあった… #burphandson

ゆずマン△ @yuzuman_1014

帰宅ー 実際に手を動かすのはやっぱり楽しいですね 中級者編も楽しみ #burphandson

abend @number3to4

今日は多くの方々に参加いただき、ありがとうございました。また、自分の無茶ブリにも対応頂いたスタッフの方々にも感謝です。そして、ひとつのイベントが終わったので、次の目標に向けてまたお付き合い下さい！！ #burphandson