OWASP AppSec USA 2012 レポート:WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは? (1/2) - @IT(情報元のブックマーク数)
OWASP AppSec USA 2012レポートキタ━━━━(゚∀゚)━━━━ッ!!
今回聴講したセッションの中では、やはりHTML5やNoSQLなどの最新技術やトレンドに関するセッションは参加者が多く、質疑応答も盛んで注目度が高い印象でした。 中には立ち見が出るほど人気のセッションも
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは? (1/2):OWASP AppSec USA 2012 レポート - @IT
また、Webアプリケーション関連だけではなく、数こそ少ないもののスマートフォン関連のセキュリティをテーマとしたセッションも開催されました。こちらも立ち見が出るほど参加者が多く、スマートフォンセキュリティに対する関心の高さが感じられます。
これ面白いw
このツールのコンセプトは次の3つです。
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは? (2/2):OWASP AppSec USA 2012 レポート - @IT
WAFの防御性能を測る
紛らわしい正常リクエスト、攻撃リクエストの両方を送信して計測する
2つの視点で計測する
正常リクエストをブロックする割合(False Positive)
異常リクエストを通す割合(False Negative)
つまり、WAFの防御性能を測定するために、攻撃リクエストだけでなく、紛らわしい正常なリクエストを送信し、さらにFalse Positive/False Negative両方の割合を測定することで、より正確な防御性能を測定するというものです。
セッションは「ソーシャルエンジニアリングを成功させるためには信頼を得ることが重要」との話から始まりました。例えば、人から信頼を得やすいポイントとしては次のような特徴があります。
- 誠実な笑顔
- 額がリラックスしている(シワが寄っていない)
- 視線が合っている
- 頬が上がっている(笑顔)
WAFの性能を測る方法は? ソーシャルエンジニアリングを成功させやすいタイプとは? (2/2):OWASP AppSec USA 2012 レポート - @ITまた、男性よりも女性や子供のほうが信頼を得やすく、女性は男性に比べて90%以上もソーシャルエンジニアリングを成功させる確率が高いとのこと。