Enviar pesquisa
Carregar
Webアプリのセキュリティ対策入門(仮)
•
Transferir como PPTX, PDF
•
1 gostou
•
1,563 visualizações
P
pinenet
Seguir
@pinebber 社内勉強会用資料
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 30
Baixar agora
Recomendados
2015/08/22 めとべや東京#9でのセッション
20150822 Application Insightsでお手軽WPアプリ監視
20150822 Application Insightsでお手軽WPアプリ監視
Takayoshi Tanaka
「「「Azure の監視ってどうやるの?」」」 この仕事についてから数えるのもイヤになるくらい聞かれた質問なのですが、改めて整理してみると監視って広くて深くて、何よりも人によって意味がマチマチだったりします。 Azure には Azure Monitor がありますが、それだけでは監視の要件を満たせるとは限りません。まずは標準的に備わっている機能を把握していただくための資料として作成したものです。
Azure monitoring and alert v0.2.21.0707
Azure monitoring and alert v0.2.21.0707
Ayumu Inaba
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
某所勉強会
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
2018.11.21 COMPUS 2018 で使用した資料です
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
CloudKitことはじめ.
Getting started with CloudKit
Getting started with CloudKit
Yuichi Yoshida
第一回 中国地方DB勉強会の資料
データベースセキュリティ
データベースセキュリティ
Yasuo Ohgaki
TerraSky Power Night 2014/05/09 開催 講演資料
03 salesforce mobilesdkの+(プラス)なお話
03 salesforce mobilesdkの+(プラス)なお話
TerraSky
Recomendados
2015/08/22 めとべや東京#9でのセッション
20150822 Application Insightsでお手軽WPアプリ監視
20150822 Application Insightsでお手軽WPアプリ監視
Takayoshi Tanaka
「「「Azure の監視ってどうやるの?」」」 この仕事についてから数えるのもイヤになるくらい聞かれた質問なのですが、改めて整理してみると監視って広くて深くて、何よりも人によって意味がマチマチだったりします。 Azure には Azure Monitor がありますが、それだけでは監視の要件を満たせるとは限りません。まずは標準的に備わっている機能を把握していただくための資料として作成したものです。
Azure monitoring and alert v0.2.21.0707
Azure monitoring and alert v0.2.21.0707
Ayumu Inaba
JavaScriptによるクリックジャッキング対策の迂回方法の検証結果。クリックジャッキング対策はX-Frame-Optionsヘッダを使いましょー。
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
某所勉強会
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
2018.11.21 COMPUS 2018 で使用した資料です
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
CloudKitことはじめ.
Getting started with CloudKit
Getting started with CloudKit
Yuichi Yoshida
第一回 中国地方DB勉強会の資料
データベースセキュリティ
データベースセキュリティ
Yasuo Ohgaki
TerraSky Power Night 2014/05/09 開催 講演資料
03 salesforce mobilesdkの+(プラス)なお話
03 salesforce mobilesdkの+(プラス)なお話
TerraSky
AWS Sercurity and OWASP Top 10
Aws security ssrf
Aws security ssrf
隆博 田中
Tech Summit 2017 で使用した資料です
Azure AD による Web API の 保護
Azure AD による Web API の 保護
junichi anno
(A7)Cross-SiteScripting
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
20190208 OWASP Nagoya Chapter ミーティング 第9回 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
第6回鹿児島Node.jsの会勉強会資料の2つ目です。
第6回鹿児島node.jsの会2資料_内村
第6回鹿児島node.jsの会2資料_内村
Koichi Uchimura
20181117 NKC DAY 2018 1日目 勉強会 一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
Windows Hello in your App ! ~ カスタム アプリ (Web、 UWP) における最新で最強の認証・認可
Sec018 windows hello_in_your_app_!_~_カスタム_
Sec018 windows hello_in_your_app_!_~_カスタム_
Tech Summit 2016
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
Webセキュリティ入門(XSS) Othlotech #11 https://othlotech.connpass.com/event/52273/
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
KageShiron
AzureでのService Principal入門
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
「「「Azure の監視ってどうやるの?」」」 この仕事についてから数えるのもイヤになるくらい聞かれた質問なのですが、改めて整理してみると監視って広くて深くて、何よりも人によって意味がマチマチだったりします。 Azure には Azure Monitor がありますが、それだけでは監視の要件を満たせるとは限りません。まずは標準的に備わっている機能を把握していただくための資料として作成したものです。
Azure monitoring and alert v0.1.21.0422
Azure monitoring and alert v0.1.21.0422
Ayumu Inaba
MFA(2段階認証)でセキュリティ強化~Authyの設定 JAWS-UG大分2014年9月勉強会資料
MFA(2段階認証)でセキュリティ強化~Authyの設定
MFA(2段階認証)でセキュリティ強化~Authyの設定
Yuki Fujino Oita Univ.
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
Vaddy ミートアップ Vol.7
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Masakazu Ikeda
2013/01/26 の LOCAL DEVELOPER DAY ’13 / Infra & Security で使用したスライドです。
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
workshop : AISECjp presenter : Isao Takaesu. date : 2016/07/25
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
まにゼミ 知りませんでは通らない! 「制作者なら知っておきたいWebセキュリティの考え方」 2013/01/28 http://m2.cap-ut.co.jp/event/semi08.html
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
RoR周辺知識15項目
RoR周辺知識15項目
RoR周辺知識15項目
saiwaki
GitLab DevOps Webinar シリーズ: アプリケーションセキュリティのシフトレフト 株式会社アスタリスク・リサーチ 岡田良太郎 Youtube Live Recording: https://www.youtube.com/watch?v=H3JRkhJl3i0&t=164s
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Active Directory 侵害と推奨対策についての勉強会
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Developers Summit 2012講演 タイトル:Java/Android セキュアコーディング 講演者:JPCERT/CC 久保 正樹
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
Mais conteúdo relacionado
Mais procurados
AWS Sercurity and OWASP Top 10
Aws security ssrf
Aws security ssrf
隆博 田中
Tech Summit 2017 で使用した資料です
Azure AD による Web API の 保護
Azure AD による Web API の 保護
junichi anno
(A7)Cross-SiteScripting
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
20190208 OWASP Nagoya Chapter ミーティング 第9回 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
第6回鹿児島Node.jsの会勉強会資料の2つ目です。
第6回鹿児島node.jsの会2資料_内村
第6回鹿児島node.jsの会2資料_内村
Koichi Uchimura
20181117 NKC DAY 2018 1日目 勉強会 一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
Windows Hello in your App ! ~ カスタム アプリ (Web、 UWP) における最新で最強の認証・認可
Sec018 windows hello_in_your_app_!_~_カスタム_
Sec018 windows hello_in_your_app_!_~_カスタム_
Tech Summit 2016
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
Webセキュリティ入門(XSS) Othlotech #11 https://othlotech.connpass.com/event/52273/
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
KageShiron
AzureでのService Principal入門
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Toru Makabe
「「「Azure の監視ってどうやるの?」」」 この仕事についてから数えるのもイヤになるくらい聞かれた質問なのですが、改めて整理してみると監視って広くて深くて、何よりも人によって意味がマチマチだったりします。 Azure には Azure Monitor がありますが、それだけでは監視の要件を満たせるとは限りません。まずは標準的に備わっている機能を把握していただくための資料として作成したものです。
Azure monitoring and alert v0.1.21.0422
Azure monitoring and alert v0.1.21.0422
Ayumu Inaba
MFA(2段階認証)でセキュリティ強化~Authyの設定 JAWS-UG大分2014年9月勉強会資料
MFA(2段階認証)でセキュリティ強化~Authyの設定
MFA(2段階認証)でセキュリティ強化~Authyの設定
Yuki Fujino Oita Univ.
Mais procurados
(12)
Aws security ssrf
Aws security ssrf
Azure AD による Web API の 保護
Azure AD による Web API の 保護
(A7)cross site scripting
(A7)cross site scripting
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
第6回鹿児島node.jsの会2資料_内村
第6回鹿児島node.jsの会2資料_内村
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
Sec018 windows hello_in_your_app_!_~_カスタム_
Sec018 windows hello_in_your_app_!_~_カスタム_
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
3分でわかるAzureでのService Principal
3分でわかるAzureでのService Principal
Azure monitoring and alert v0.1.21.0422
Azure monitoring and alert v0.1.21.0422
MFA(2段階認証)でセキュリティ強化~Authyの設定
MFA(2段階認証)でセキュリティ強化~Authyの設定
Semelhante a Webアプリのセキュリティ対策入門(仮)
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
Vaddy ミートアップ Vol.7
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Masakazu Ikeda
2013/01/26 の LOCAL DEVELOPER DAY ’13 / Infra & Security で使用したスライドです。
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
workshop : AISECjp presenter : Isao Takaesu. date : 2016/07/25
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
まにゼミ 知りませんでは通らない! 「制作者なら知っておきたいWebセキュリティの考え方」 2013/01/28 http://m2.cap-ut.co.jp/event/semi08.html
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
RoR周辺知識15項目
RoR周辺知識15項目
RoR周辺知識15項目
saiwaki
GitLab DevOps Webinar シリーズ: アプリケーションセキュリティのシフトレフト 株式会社アスタリスク・リサーチ 岡田良太郎 Youtube Live Recording: https://www.youtube.com/watch?v=H3JRkhJl3i0&t=164s
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
Active Directory 侵害と推奨対策についての勉強会
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Developers Summit 2012講演 タイトル:Java/Android セキュアコーディング 講演者:JPCERT/CC 久保 正樹
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
Eiichi Moriya
一部文字化けがあります。 修正版がこちら↓ https://www.slideshare.net/YutoIchikawa1/aws-waf-2021
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
2015/7/24に行われたAWS上で構築するRESTfulアプリ勉強会~Web開発ワークショップ~【第7回】で使用した資料です。
第7回rest勉強会 バリデーション編
第7回rest勉強会 バリデーション編
ksimoji
研修用
XSSについて.pdf
XSSについて.pdf
柏原 風希
Presentation material for PostgreSQL seminar.
Postgre SQL security_20170412
Postgre SQL security_20170412
Kazuki Omo
Apache ManifoldCF
Apache ManifoldCF
Shinichiro Abe
Apache ManifoldCF
Apache ManifoldCF
Shinichiro Abe
Electronは、WindowsやOS X、Linuxのデスクトップアプリケーションを簡単に作成するためのフレームワークであり、Atom EditorやVisual Studio Code、Slackといった人気アプリケーションの開発にも用いられている。ElectronはChromiumとnode.jsを内包することでWebアプリケーション開発者が慣れた手法でデスクトップアプリケーションを開発可能にしている反面、アプリケーション内にDOM-based XSSが一か所でも存在すると容易に任意コード実行が可能になるなどセキュリティ上の問題点も多数存在しており、事実、今日までに著名なElectron製アプリケーションにおいて任意コード実行が可能な脆弱性を多数発見・報告している。 本セッションでは、Electronを利用して開発する際に発生しやすいセキュリティ上の問題点を整理して理解することを目的にしている。 --- はせがわ ようすけYosuke Hasegawa 株式会社セキュアスカイ・テクノロジー常勤技術顧問。 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演多数。 OWASP Kansai Chapter Leader / OWASP Japan Board member
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
CODE BLUE
4月・5月勉強会の資料
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
KoudaiKumazaki
2018/2/16開催のSapporoTechBarにて、データベースマイグレーションツールについて講演いただきました。
20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migration
Insight Technology, Inc.
Semelhante a Webアプリのセキュリティ対策入門(仮)
(20)
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
体系的に学ばないXSSの話
体系的に学ばないXSSの話
RoR周辺知識15項目
RoR周辺知識15項目
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
5 moriya security-seminar2005_05
5 moriya security-seminar2005_05
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
第7回rest勉強会 バリデーション編
第7回rest勉強会 バリデーション編
XSSについて.pdf
XSSについて.pdf
Postgre SQL security_20170412
Postgre SQL security_20170412
Apache ManifoldCF
Apache ManifoldCF
Apache ManifoldCF
Apache ManifoldCF
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
20180216 sapporo techbar_db_migration
20180216 sapporo techbar_db_migration
Último
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Key topics covered: - Understanding Ballerina's role in integrations: features and advantages - Designing and implementing REST APIs for integration - Designing and implementing GraphQL services with Ballerina - Monitoring and observing applications - Introduction to data integration
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
2024年5月8日 Power Platform 勉強会 #1 LT資料
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
2022年10月27日に社内向けに開催した勉強会資料の社外公開版です(発表8分程度)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Syed Talal Wasim, Muzammal Naseer, Salman Khan, Ming-Hsuan Yang, Fahad Shahbaz Khan , "Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Grounding" arXiv2024 https://arxiv.org/abs/2401.00901v2
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
This is an introduction to MAPPO's paper.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Jue Wang, Wentao Zhu, Pichao Wang, Xiang Yu, Linda Liu, Mohamed Omar, Raffay Hamid, " Selective Structured State-Spaces for Long-Form Video Understanding" CVPR2023 https://openaccess.thecvf.com/content/CVPR2023/html/Wang_Selective_Structured_State-Spaces_for_Long-Form_Video_Understanding_CVPR_2023_paper.html
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
LoRaWANスマート距離検出センサー DS20Lカタログ
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Último
(11)
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
Webアプリのセキュリティ対策入門(仮)
1.
Webアプリのセキュリティ対策入門(仮)
2.
目次 1.はじめに 2.SQLインジェクション 3.クロスサイトスクリプティング(XSS) 4.クロスサイトリクエストフォージェリ(CSRF) 5.今回のまとめ
3.
1.はじめに
4.
今回攻撃対象とするデモアプリ紹介 個人商店のお手軽通販サイトを想定 クオリティについてはお察しください(作成3時間程度) ログイン機能 レビューを商品別に 書き込み 商品詳細画面 構成:JDK1.7 + Tomcat6.0
+ HSQLDB 商品情報は DBで管理
5.
2.SQLインジェクション
6.
2.SQLインジェクション システムとして意図しないSQLが実行され、データベースの 内容の盗難・改ざんが行われることを言う。
7.
SQLインジェクション デモンストレーション
8.
想定される被害 1.データベース内の情報改ざん 2.不正ログイン 3.データベース内情報の漏えい(個人情報など) などなど・・・
9.
SQLインジェクションが発生する仕組み アプリ パスワード ID DB ログイン認証 SELECT COUNT(*) FROM
USERS WHERE USERID=‘ ‘ AND PASSWORD=‘ ‘; ユーザが入力したID ユーザが入力したPASS 文字列を連結してSQLを 生成し、DBに対して発行 例えばこんなアプリ
10.
SQLインジェクションが発生する仕組み アプリ パスワード hogePASS ’ OR
‘A’ = ‘A ID hogeID DB ログイン認証 SELECT COUNT(*) FROM USERS WHERE USERID=‘ ‘ AND PASSWORD=‘ ‘; hogeID hogePASS’ OR ‘A’=‘A パスワード部分にインジェクショ ンされたSQLによりPASSWORDの 部分は常にTRUE パスワード認証を回避!
11.
実際にあったSQLインジェクション 2005年5月に「価格.com」で発生。 ・商品情報を管理するデータベースに対してSQLインジェクションが行われた。 ・これにより、ホームページの改ざん、メールアドレスが流出し、閉鎖騒動ま で発展した。 国内外問わず頻繁に発生しており、直近のIPAへの届出状況(※)によると、未だ にソフトウェアの脆弱性として届出が行われている状況。 ※ソフトウェア等の脆弱性関連情報に関する届出状況[2014年第1四半期(1月~3月)] http://www.ipa.go.jp/security/vuln/report/vuln2014q1.html
12.
対策方法 (方法1) 入力された値からクオートなど、SQLインジェクションとなり得る値を 除去する 実装次第で除去漏れが発生するし、何より毎回仕組みを作るのは面倒 (方法2) 先人たちが作った仕組みを使う 実績があり、仕組みを作らなくて済む!楽で確実! 却下
13.
具体的な対策方法 Javaでの例(大体の言語で同等の仕組みがあるので利用すること) 修正前 String sql= “
SELECT COUNT(*) FROM USERS WHERE USERID=‘ “ + userId + “‘ AND PASSWORD=‘ “ + password + “’”; SQLの実行 修正後 String sql = “ SELECT COUNT(*) FROM USERS WHERE USERID= ? AND PASSWORD= ?”; PreparedStatement pst = conn..prepareStatement(sql); 入力値の埋め込み、SQLの実行 PreparedStatementを使用することで、JDBC ドライバによって自動的にエスケープが行 われる!
14.
3.クロスサイトスクリプティング
15.
3.クロスサイトスクリプティング 入力値をそのまま画面上に出力する事により、意図しない コードを画面上に出力させること。 XSSと略されることが多い。
16.
クロスサイトスクリプティングデモンストレーション
17.
想定される被害 1.セッションハイジャック(不正ログインなどが可能) 2.ページ書き換えによる不正サイトの構築 3.不正プログラムの強制的なダウンロード などなど・・・
18.
クロスサイトスクリプティングが発生する仕組み アプリ 入力値 例えばこんなアプリ 入力値 入力された値を 画面に出力
19.
クロスサイトスクリプティングが発生する仕組み アプリ 例えばこんなアプリ ほげ JavaScriptコードがそのま ま解釈され、「ほげ」とい うアラートが出力される <script>alert(“ほげ”);</script> 画面の書き換えが可能!
20.
対策方法 (方法1) 入力された値からHTMLやJavaScriptとして解釈される文字を独力で 除去する 実装次第で除去漏れが発生するし、何より毎回仕組みを作るのは面倒 (方法2) 先人たちが作った仕組みを使う 実績があり、仕組みを作らなくて済む!楽で確実! 却下
21.
具体的な対策方法 Strutsを使った例 <bean:write name=“hoge” />
22.
4.クロスサイトリクエストフォージェリ
23.
4.クロスサイトリクエストフォージェリ とりあえずデモンストレーションを見よう! CSRFやXSRFと略されることが多い。
24.
クロスサイトスクリプティングデモンストレーション
25.
想定される被害 1.意図しない犯行声明の書き込みによる冤罪 などなど・・・
26.
クロスサイトリクエストフォージェリが発生する仕組み デモンストレーションを用いて説明
27.
実際にあったクロスサイトリクエストフォージェリ 2012年に発生したPC遠隔操作事件の1つ ・小学校への無差別殺人予告が横浜市の意見投稿コーナーに書き込まれ た事件。 ・クロスサイトリクエストリクエストフォージェリで他人に犯行予告を行わせた。
28.
対策方法 ・別サイトからのリクエストは受け付けないようにチェックする。 (リファラのドメインチェック、トークンチェックなど)
29.
5.今回のまとめ
30.
5.今回のまとめ 自分で処理を作りこまない事が大事。 先人達が作ったものを利用しよう。
Baixar agora