読者です 読者をやめる 読者になる 読者になる

nmtysh.log

Tech系のネタや日々の独り言などを書いています。

セキュリティ・ミニキャンプ in 沖縄 に行ってきた

2015/12/18(金)に行われた セキュリティ・ミニキャンプ in 沖縄 2015 の一般講座に参加してきました。

どのセッションも良かったです。色々書いてしまうとアレなので、一番印象に残った(試してみたい)と思ったものを

山下 勇太さんの「セキュリティテスト「ファジング」の動向」で紹介されていたファジングに興味を持ちました。
恥ずかしながら「ファジング? なにそれ?」状態でしたので……

ペネトレーションテストとの違いについてや、開発工程におけるそれぞれの実施タイミングについて教えていただきました。

ペネトレーションが環境設定、不適切な認証、証明書・パスワード管理などを見るのに対して、 ファジングは不適切な入力確認、バッファエラー、リソース管理の問題などをチェックできる。 また一般的な機能テストで発見が難しい脆弱性などをファジングで検出できる。

ペネトレーションはテストの後半もしくは製品出荷後に行うものなのに対して、ファジングはテストの初期、開発中に実施する。

またツール群が紹介されていました。
商用だと「Codenomicon Defensics」や「Raven」。フリーだと「ISIC」や「Taof」、「Peach」などがあるそうです。

もうちょっと調べてみて開発の現場で試してみようと思います。

その場で調べて出てきたサイトのリンクをメモ的に貼り付けておきます。



メモ断片はあるのですが、文章にまとめ上げるのが本当に苦手です……
outputを重ねるしか無いですね。あまり時間をかけずにさっと文章化できるようになりたいです。