2015/12/18(金)に行われた セキュリティ・ミニキャンプ in 沖縄 2015 の一般講座に参加してきました。
どのセッションも良かったです。色々書いてしまうとアレなので、一番印象に残った(試してみたい)と思ったものを
山下 勇太さんの「セキュリティテスト「ファジング」の動向」で紹介されていたファジングに興味を持ちました。
恥ずかしながら「ファジング? なにそれ?」状態でしたので……
ペネトレーションテストとの違いについてや、開発工程におけるそれぞれの実施タイミングについて教えていただきました。
ペネトレーションが環境設定、不適切な認証、証明書・パスワード管理などを見るのに対して、 ファジングは不適切な入力確認、バッファエラー、リソース管理の問題などをチェックできる。 また一般的な機能テストで発見が難しい脆弱性などをファジングで検出できる。
ペネトレーションはテストの後半もしくは製品出荷後に行うものなのに対して、ファジングはテストの初期、開発中に実施する。
またツール群が紹介されていました。
商用だと「Codenomicon Defensics」や「Raven」。フリーだと「ISIC」や「Taof」、「Peach」などがあるそうです。
もうちょっと調べてみて開発の現場で試してみようと思います。
その場で調べて出てきたサイトのリンクをメモ的に貼り付けておきます。
- fuzzing-tool.pdf
- ファジングの有効性、知ってますか? IPAが手引きを公開 - @IT
- ファジング - 極楽せきゅあ日記
- 第1回:ファジングで効率よく脆弱性を検出するためのポイント - 家電・モバイル - 日経テクノロジーオンライン
- ファジング入門(続:セキュリティ・ミニキャンプ in 東北 2015に参加してきた) - Tanakaxaの日記
- Peach Fuzzer
メモ断片はあるのですが、文章にまとめ上げるのが本当に苦手です……
outputを重ねるしか無いですね。あまり時間をかけずにさっと文章化できるようになりたいです。