O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

20190208 脆弱性と共生するには

143 visualizações

Publicada em

20190208 OWASP Nagoya Chapter ミーティング 第9回
脆弱性と共生するには

  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

20190208 脆弱性と共生するには

  1. 1. 脆弱性と共生するには 宮城 正伸
  2. 2. Profile 2 ・元 Webアプリケーション 脆弱性診断員 宮城 正伸 ・OWASP Nagoya スタッフ ・Github たまに更新します ・得意な言語は PythonとPHP @npemasa50 ツーリング仲間募集中!
  3. 3. Agenda 3 ・前回の発表概要 ・まとめ ・重大なお知らせ
  4. 4. XSSとは? 4 ・Webアプリの脆弱性 ・ユーザの入力値をそのまま出力 ・DBに保存された値をそのまま出力
  5. 5. XSSの怖いところ 5 ・個人情報漏洩につながる可能性 ・被害者なのに加害者!? ・etc...
  6. 6. XSSの実装例(悪用) 6 脆弱なページ ②XSS発火! ①偽リンククリック ③Cookie情報表示 ④攻撃者へCookie送信
  7. 7. XSSの対策方法 7 NG Case: OK Case: $user = $_GET['user']; echo "ようこそ ". $user . "さん"; $user = htmlspecialchars($_GET['user']); echo "ようこそ ". $user . "さん"; ・ユーザからの入力値を信用しない! ようこそ&lt;script&gt;alert(1)&lt;/script&gt;さん ようこそ<script>alert(1)</script>さん
  8. 8. 認証不備とは? 8 ・認証設定が適切でない(Deny) ・パスワードだけの認証? 今時遅れてるね(^-^ )b
  9. 9. 認証不備の怖いところ 9 ・関係者以外知らないはずのURLを・・・ ・パスワードリスト攻撃、辞書攻撃、 ジョーアカウント攻撃等に脆弱
  10. 10. まとめ 10 脆弱性の概要・対策方法を知ろう! 自分が関わるアプリは安全か調べよう! 守るべき情報を取捨選択しよう!
  11. 11. 重大なお知らせ 11 脆弱性診断勉強会をスタートします!! 概要:読書、ハンズオン 場所:未定(名古屋)
  12. 12. 重大なお知らせ 12 知的好奇心旺盛な人、吸収しましょう! 自分で見つけたい人、応援します! 自作アプリを攻撃して欲しいドMな人、 攻撃対象を欲しているドSな人を紹介します!
  13. 13. Coming Soon…

×