【131130】テクノロジーアカデミー #テクノロジーアカデミー

者 @pettan0818_R

インフラセキュリティーチーム ・セキュリティトレーニング ・セキュリティレビュー ・脆弱性診断 ・インシデントハンドリング #テクノロジーアカデミー

者 @pettan0818_R

漏洩ごめんなさいするときとかは セキュリティチームのお仕事 #テクノロジーアカデミー

者 @pettan0818_R

セキュリティレビュー 脅威の分析 対策検討 設計と実装 #テクノロジーアカデミー

者 @pettan0818_R

マイクロソフトによる セキュリティ設計の欠陥をSTRIDE手法で明らかにする #テクノロジーアカデミー

者 @pettan0818_R

STRIDE Spoofing(なりすまし) Tampering(改ざん) Repudiation(否認) Information Disclosure(情報漏洩) Denial of Service Elevation of Privilege #テクノロジーアカデミー

者 @pettan0818_R

盗聴 改ざん なりすまし を重点的にチェック #テクノロジーアカデミー

者 @pettan0818_R

データフローの分析 #テクノロジーアカデミー

者 @pettan0818_R

複雑なデータフローになると脅威が増えていくので、 経路と結果をまずは押さえる。 #テクノロジーアカデミー

cokaholic🐰🍁☄️🪐 @_cokaholic

#テクノロジーアカデミー データフローが複雑になればなるほど、脅威は増大してゆく。

者 @pettan0818_R

まずは、境界線をどこにおくか インターネット⇔イントラネット WebアプリのつながりにおいてSTRIDEが起こりえるかどうかをCheck #テクノロジーアカデミー

者 @pettan0818_R

データフローと保護の境界が複雑になる原因 ・関係者数 ・ロケーション ・機器・アプリの機能要件 ・時間 ・プログラムの実行環境 →メモリ →ユーザー・共有領域 →OSによるデータストア →オンライン #テクノロジーアカデミー

cokaholic🐰🍁☄️🪐 @_cokaholic

#テクノロジーアカデミー アプリをリリースしている者は、データフローを見直すことでセキュリティ対策を打つ必要がある。 →今後、サーバを扱うアプリを開発する場合は気をつけよう、、、(((( ・_・ ))))

者 @pettan0818_R

脆弱性診断 ネットワーク・サーバーレイヤー 本当に守らないといけないデータも簡単に傍受できる #テクノロジーアカデミー

者 @pettan0818_R

SSLでさえ無ければ、いつでもフックしてデータを取り出すことが出来る #テクノロジーアカデミー

者 @pettan0818_R

Nampによるポートスキャンだ!!!!!!!! #テクノロジーアカデミー

🐰 4/50 Yasu @yasuharu519

HTTPはパスワードとかCookieとか平文で送られるから危ないですよ! by 野渡さん #テクノロジーアカデミー

🐰 4/50 Yasu @yasuharu519

nmapによるポートスキャンの話 #テクノロジーアカデミー

者 @pettan0818_R

Nessus最高!! #テクノロジーアカデミー

者 @pettan0818_R

Webアプリの診断 #テクノロジーアカデミー

者 @pettan0818_R

SQLインジェクションなんてされたらデータベースの中身全部抜かれる #テクノロジーアカデミー

cokaholic🐰🍁☄️🪐 @_cokaholic

#テクノロジーアカデミー SQLインジェクション、、、なんて恐ろしいんだw