2019/04/11 サポーターズColabでの登壇資料です。 脆弱性診断とは�なんぞや? 幸田将司: セキュリティエンジニア: - 脆弱性診断を主な業務にしています。 - たまにセキュリティ啓蒙活動とかも。 経歴: - 業界入ってからからずっとセキュリティ。 - 現在はフリーランスとして活動中。 twitter: - @halkichisec ・脆弱性診断とは 何をするか: アプリケーションのセキュリティホールを探す ・診断のフロー 対象の機能を確認する スキャンツールを動かす スキャンツールで見つかった問題の精査 手動で問題を探す 見つかった問題のエビデンスを取得す ・実施する前にやるべきこと 診断用の環境を用意 本番サーバとは切り放そう dockerのimageを診断できたら最高 診断環境への通知をしておく クラウド環境にいきなり 攻撃パケットを投げるのはやめよう 環境が動くか確認
![脆弱性診断とはなんぞや](https://cdn-ak-scissors.b.st-hatena.com/image/square/9fa156e27b1f5a8749c8db9f41d505500e9502f2/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fwhatispentest-190411103714-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)