![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2024-06-18T22:47:14+09:00","default:k1rou","k1rou") #author("2024-10-19T20:42:18+09:00","default:k1rou","k1rou") *脆弱性とは [#m22ba3d2] **名称 [#de73c0bd] -Vulnerability -Security Hole **概要 [#n04d1773] -情報の取り扱いにおいて、情報の漏洩・改竄などが発生する原因となる弱点や欠陥のこと。 -脆弱性(ぜいじゃくせい)とは? -総務省~ http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html *情報セキュリティにおける脆弱性 [#da102e9d] -脆弱性の種類 --設備 --技術 --管理・制度 *脆弱性を識別・評価する仕組み [#m4ae540e] ***[[JVN]] [#cce1d093] -国内で使われるソフトウェア製品等の脆弱性関連の情報と対策を提供するポータルサイト **[[CVE]] [#zb910b56] -共通脆弱性識別子 -脆弱性を識別するための識別子 **[[CWE]] [#c2466dc4] -共通脆弱性タイプ一覧 -脆弱性の種類を識別するための共有基準 **[[CVSS]] [#ge5a3e4a] -共通脆弱性評価システム -脆弱性の深刻さを評価する仕組み *脆弱性の検査 [#q97597a5] -ブラックボックス検査 --[[ペネトレーションテスト]] --[[セキュリティホール]]検査 --侵入検査 --セキュリティスキャン --プラットフォーム検査 --[[ファジング]] -ホワイトボックス検査 *脆弱性の対応 [#l377836c] -ソフトウェア --開発元が提供するパッチを適用する *脆弱性に対する脅威 [#naf12c69] -[[エクスプロイト]]コード --脆弱性を悪用して攻撃するためのプログラムのこと -[[ゼロデイ攻撃]] --開発元がパッチを提供する前に行われる、脆弱性を悪用した攻撃のこと *脆弱性の管理 [#n68a990a] -[[Qualys]]~ https://www.qualys.com/ -MyJVN ([[IPA]]/[[JPCERT/CC]]) --脆弱性対策情報を管理するJVN iPediaの情報を効率的に活用できるようにするソフトウェアのツール~ https://jvndb.jvn.jp/apis/myjvn/ *脆弱性診断 [#r3bbcfd2] **脆弱性診断ツール [#s1639755] -「[[脆弱性診断ツール]]」参照 -[[パケットキャプチャ]] -プラットフォーム診断 --[[Nessus]]~ https://jp.tenable.com/products/nessus?tns_redirect=true -脆弱性スキャン --GVM ---Greenbone Vulnerability Manager ---旧名「[[OpenVAS]]」~ http://openvas.org/ -OSS-Fuzz - Google~ https://github.com/google/oss-fuzz -Tsunami - Google~ https://github.com/google/tsunami-security-scanner **脆弱性診断サービス [#d39c6df2] -情報セキュリティサービス基準適合サービスリスト - [[IPA]]~ https://www.ipa.go.jp/files/000067318.pdf **脆弱性診断演習用ウェブサイト [#kdbc259d] -OWASP Mutillidae 2 -[[OWASP]]~ https://www.owasp.org/index.php/OWASP_Mutillidae_2_Project **脆弱性診断演習向けのWebアプリのコレクション [#ca4eccb3] -OWASP BWA --OWASP Broken Web Applications~ https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project ~ https://sourceforge.net/projects/owaspbwa/files/ -vulhub / vulhub - GitHub --docker上に環境を構築することができる~ https://github.com/vulhub/vulhub *脆弱性の通報 [#kb4c9383] -huntr.dev~ https://huntr.dev/ -[[JPCERT/CC]] - [[IPA]]~ https://www.jpcert.or.jp/form/ *脆弱性情報の収集方法 [#c0ac6d39] -製品の提供元ベンダーが公開するアップデート情報 -公的機関が公開する脆弱性情報データベース --[[NVD]] --[[JVN]] -公的機関が発信する脆弱性を悪用した攻撃の情報 --[[JPCERT/CC]] --[[IPA]] --警察 --[[ISAC]] *関連サイト [#wc6544cd] -脆弱性対策情報データベース JVN iPedia - IPA~ https://jvndb.jvn.jp/ -am I infected? - 横浜国立大学とゼロゼロワン~ https://amii.ynu.codes/ -Exploit-DB~ https://www.exploit-db.com/ *関連用語 [#db2e4ced] -[[エクスプロイト]] -[[セキュリティ]] -[[セキュリティホール]] -[[ペネトレーションテスト]] -[[サイバー攻撃]] -[[ACE]] -[[BOF攻撃]] -[[NVD]] -[[RCE]] -the Harvester
