孤高 の 皇 妃 キャスト
社外トレーニング 今回の記事ではチームでセキュリティ テストを開始する際の基本事項を紹介しました。学ぶべきことはもっと多く、有用なオンライン資料も豊富に存在します。 SANS などのトレーニング提供企業による多彩なコースなど、もっと的を絞ったトレーニングが必要だと判断するかもしれません。QA スタッフ向けのセキュリティ トレーニング コースは非常に少ないため、Web 開発者向けのセキュリティ コースを探してみましょう。いわゆる "侵入テスト" コースはネットワークのハッキングに的を絞っている傾向がありますが、Web アプリケーションへの侵入に特化したセクションがあることが多いのでコースの内容を前もって確認してみるといいでしょう。 (翻訳: go2group 株式会社)
孤高の皇妃 キャスト
アプリケーションの理解 リスクがどこに存在するかを評価できるようにテスト対象のアプリケーションをよく理解することは重要です。アプリケーションが使用する技術、さまざまなユーザーのプロファイル、異なるアクセス レベルで持つべき権限/持つべきでない権限、およびアプリケーションに保存される可能性のあるデータなどの知識を持っていることが前提とされます。インターネット上で匿名のサイト利用者に猫の写真を単に見せる Web サイトと、猫の写真を売るためにログイン ユーザーにクレジット カード情報の入力を求める Web サイトでは、行うテストはまったく異なります。 2. セキュリティ規定と定義の理解 OWASP を参照していただくのが最適です。一見、規定やコンセプトの量に圧倒されるかもしれませんので、一部の規定、できれば自分のアプリケーションに最も関連すると思われる規定のみ重点的に確認します。例として XSS 、 XSRF 、 SQL インジェクション 、および パス トラバーサル などが挙げられます。 CWE/SANS トップ25 には脆弱性を引き起こす最も広範かつ重大なエラーが表示されています。既知の攻撃方法すべてを網羅したリストについては、CAPEC を参照してください。 知識の養成 3. オンライン トレーニング ツールの使用 学習を始める最適な方法は、既知の脆弱性があり、それを見つける方法を記した指示書が提供されているアプリケーションをテストしてみることです。私のお勧めは各コンセプトを網羅するレッスンが個別に用意されている Google の Gruyere です。脆弱性を見つけたり、必要に応じて正解を見つけるのに役立つヒントを確認できます。 他の候補として、OWASP の WebGoat や Damn Vulnerable Web App なども挙げられます。 4. 他人から学ぶ 自分の勤め先の開発者の中でセキュリティの問題に詳しい人が何人かいるはずです。自分とペアを組んでアプリケーションの動作を調査するよう頼んでみましょう。たとえば、開発者は SQL インジェクション文字列がデータベース サーバーで実行されていないこと、およびなぜそうであるかを実証できる必要があります。実行されている場合、双方にとって教育上ためになります。また、アプリケーションの設計や攻撃から守るための仕組みについて開発者から説明してもらうこともできます。セキュリティについて学びたい人が多い場合はプレゼンを実施してもらうこともできます。 5.
企業のセキュリティテストを完璧にするための13ステップ - Atlassian Japan 公式ブログ | アトラシアン株式会社
- You raise me up シークレットガーデン meme
- 酒旬亭 中目魚へ行くなら!おすすめの過ごし方や周辺情報をチェック | Holiday [ホリデー]
- Mg ユニコーン ガンダム ver kate