Portswigger Academy 以前、Portswigger Academy卒業、と浮かれていたら、全然、終わってなかった。 chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com 久々に、Burp Suiteで遊ぼうとおもって、ログインしてみると、ク…

CVE、CWE、CVSS log4jの脆弱性はCVSSが10です、なんてワードを見る。 改めて、その辺の整理をする。 こちらで、さっぱりとまとめてくれています。 qiita.com CVE：脆弱性を識別するための共通ID（CVE識別番号(CVE-ID)） CWE：脆弱性のカテゴリ分けするための…

MITREって？ みとれ、とか読んでしまいますが、まいたー、が正しい発音らしいです。 マサチューセッツ州ベッドフォードとバージニア州マクリーンに本社を置くアメリカの非営利団体です。連邦政府が資金提供する研究開発センター（FFRDC）を管理し、航空、防…

脅威モデリングについて OWASP SAMMの中で、脅威モデリング（Threat modeling）という言葉がある。 chikuwamarux.hatenablog.com ビジネス機能:Designセキュリティ対策：Threat Assessmentの中で、 StreamとしてThreat modelingが定義されている。 その内容…

OWASP ASVSとは？ Application Security Verification Standard=ASVSで、OWASPのプロジェクトで、日本語の訳では「アプリケーションセキュリティ検証標準」が当てられている。 ASVS は現代の Web アプリケーションおよび Web サービスを設計、開発、テストす…