Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

内製ツールを使ったチート診断・脆弱性診断

30,010 views

Published on

DeNA TechCon 2018の登壇資料です。

Published in: Technology
  • Be the first to comment

内製ツールを使ったチート診断・脆弱性診断

  1. 1. • ( ) – E C – h w tr • – A D e • T : @ N T A: – i E • oN N a i – : a – E s – E 1
  2. 2. N – D 1 – A 1 – N . – 2 1 – D 1 2
  3. 3. • ( – 0 – 3 2 0 ( C • 1 • S( – ) ) • S( • ( 4
  4. 4. • / – – – 5
  5. 5. • C – : • F – / R S – – – 6
  6. 6. • – • – • – • : 7
  7. 7. • - MD – ) • DVf )b aI EH – ) ) AB e D • PD g T S c – ) • PD g WX c – ( B) e D 8
  8. 8. • C i – C • jb – SP X C X • , , – F W jb – F QL R ec 9
  9. 9. • / / • – – • / 10
  10. 10. • – • – • – 11
  11. 11. 12 A GET /users/A/messages/1 A B GET /users/B/messages/1 B BA
  12. 12. 13 A GET /users/A/messages/1 A A GET /users/A/messages/1 A AA
  13. 13. • I – : – D : • N S – • 14
  14. 14. • • – • – – 15
  15. 15. 16 10 10 10 = 100 :1000 – 100 = 900
  16. 16. 17 100 10 -100 = -1000 :1000 + 1000 = 2000
  17. 17. • – • – • – 18
  18. 18. • 19 100
  19. 19. • – • – U – X – 20
  20. 20. 21 Pinning Root/ •
  21. 21. • • – – • a • • CJ • # 22
  22. 22. • / • – – • / – – 23
  23. 23. • – • • – 24
  24. 24. • A P – A I P A • IP 25
  25. 25. • 26 Hack!!
  26. 26. • 27 Proxy
  27. 27. • – C • – D • – D 29
  28. 28. • – C • – D • – D 30
  29. 29. • – – – • – 31
  30. 30. • D H a c cr • ) 0/3)21 – ) o k • ) ) H TP o t – ( S • N U C – • ey x 32
  31. 31. • T C – D H D – P T C • U D / 33
  32. 32. 34 • S – H MP I : – : S – T C ] : • – Q MP I – H MP I • [ / 1byte 4byte
  33. 33. • / / 35 1 2 n JSON JSON1 JSON2 JSONn 1 2 n
  34. 34. • – 36 1 2 n JSON JSON1 JSON2 JSONn 1 2 n
  35. 35. • – : • :=[ :4byte][ ] 37
  36. 36. • – 38 1 2 n JSON JSON1 JSON2 JSONn 1 2 n
  37. 37. • – 39
  38. 38. • – 40 1 2 n JSON JSON1 JSON2 JSONn 1 2 n
  39. 39. • – 41
  40. 40. 42 DNS (example.com) IP PC (example.com) example.com
  41. 41. 43 DNS (example.com) IP PC (example.com) example.com
  42. 42. 44
  43. 43. 45 DNS (example.com) PC IP PC (example.com) example.com example.com DNS (PacketProxy )
  44. 44. 46 DNS (example.com) PC IP PC (example.com) example.com example.com DNS (PacketProxy )
  45. 45. • / / 47
  46. 46. • A • A D a • D o N • k P • c N e tr 48

×