徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

脆弱性診断の適正ですが、どのようにしたら測れるでしょうか。

socアナリストをしながら、合間にctf等で勉強はしていますし、CEHの取得も視野にいれています。

2020/11/15 23:31

GSX社が上野宣さん(@sen_u)と組んで認定脆弱性診断士という資格を立ち上げる予定で、私もレビュアーとして参画しています
https://www.e-guardian.co.jp/info/2020/20201109.html

CTFももちろん有効ですが、CTFと脆弱性診断はゲーム性(という表現伝わりますか?)がかなり違うのですよね。CTFは答えがある(はず)という前提ですが、脆弱性診断は答え(脆弱性)がないかもしれないという前提ですので、毎日診断文字列を打ち込むけど脆弱性は見つからない、しかし微妙な挙動の違いに思いを巡らせて…という日々に耐えられるかが問題です…が、SOCをやられているのならこの辺は大丈夫かと思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Internet Explorerのシェアは以前に比べて減っていますが、まだまだ使われているのが実情だと思います。
徳丸本で紹介されているものも含め、IE
でしか機能しないレスポンスヘッダがありますが、webは誰がどんなブラウザで利用するか分からない以上、少しでも利用者の安全に寄与するよう、こういったヘッダも当面の間は設定すべきとお考えでしょうか。
TVニュースで詐欺SMSのurlをクリックしただけで詐欺SMSの発信元として指定されるようになってしまったという被害者へのインタビューがあったのですがそのようなことが可能なのでしょうか。
キャリアに問い合わせたところ、スマホに不審なアプリが2つ入っていた。という経緯のようなのですがurlクリックだけでは不可能な認識でした。
脆弱性診断員です。恥ずかしながら、つい最近になって初めてEC2にサーバを建てました。徳丸先生の「初めてやったみた」ネタがありましたらお聞きしたいです。
Gigazineがさっき公表した脆弱性にCVEは採番されていますか
openVASのインストール方法でわかりやすいページはないでしょうか。