Submit Search
Upload
Sh exricise
•
Download as PPTX, PDF
•
0 likes
•
28 views
H
hironorinonaka
Follow
a
Read less
Read more
Art & Photos
Report
Share
Report
Share
1 of 22
Download now
Recommended
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Shiojiri Ohhara
フィッシングメール
フィッシングメール
Shiojiri Ohhara
New Layers of Web Application Security
New Layers of Web Application Security
Shintaro Kobori
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
日本マイクロソフト株式会社
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
個人情報の観点から見るサイトセキュリティの重要性
個人情報の観点から見るサイトセキュリティの重要性
Yoshinori OHTA
ドメイン名の ライフサイクルマネージメント20171031
ドメイン名の ライフサイクルマネージメント20171031
Yoshiki Ishida
Recommended
フィッシングとドメイン名・DNS
フィッシングとドメイン名・DNS
Shiojiri Ohhara
フィッシングメール
フィッシングメール
Shiojiri Ohhara
New Layers of Web Application Security
New Layers of Web Application Security
Shintaro Kobori
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
日本マイクロソフト株式会社
見えないから恐ろしい!標的型サイバー攻撃の脅威
見えないから恐ろしい!標的型サイバー攻撃の脅威
Shiojiri Ohhara
ランサムウェアのおはなし
ランサムウェアのおはなし
Shiojiri Ohhara
個人情報の観点から見るサイトセキュリティの重要性
個人情報の観点から見るサイトセキュリティの重要性
Yoshinori OHTA
ドメイン名の ライフサイクルマネージメント20171031
ドメイン名の ライフサイクルマネージメント20171031
Yoshiki Ishida
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門
Kiyokatsu Ogushi (Ohgushi)
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
Tomohiro Nakashima
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
shuna roo
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携
ymita
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
Idcon gomi-052715-pub
Idcon gomi-052715-pub
Hidehito Gomi
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
日本マイクロソフト株式会社
More Related Content
What's hot
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
Hirokazu Yoshida
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Hirokazu Yoshida
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
Tomohiro Nakashima
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
Tomohiro Nakashima
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
Tomohiro Nakashima
突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門
Kiyokatsu Ogushi (Ohgushi)
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
Tomohiro Nakashima
Symc solution overview_rev0.8
Symc solution overview_rev0.8
Takayoshi Takaoka
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
Masanori KAMAYAMA
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
Tomohiro Nakashima
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
shuna roo
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
Masanori KAMAYAMA
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携
ymita
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
What's hot
(20)
DeepSecurityでシステムを守る運用を幾つか
DeepSecurityでシステムを守る運用を幾つか
死んで覚えるDeep Security 〜 意識高いポート編
死んで覚えるDeep Security 〜 意識高いポート編
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
私がなぜZscalerに?
私がなぜZscalerに?
DDoS対処の戦術と戦略
DDoS対処の戦術と戦略
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
突然PCI DSS担当になった人が話すPCI DSS入門
突然PCI DSS担当になった人が話すPCI DSS入門
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
Symc solution overview_rev0.8
Symc solution overview_rev0.8
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
20200214 the seminar of information security
20200214 the seminar of information security
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
Similar to Sh exricise
Idcon gomi-052715-pub
Idcon gomi-052715-pub
Hidehito Gomi
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
日本マイクロソフト株式会社
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!
JPAAWG (Japan Anti-Abuse Working Group)
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
KoudaiKumazaki
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
FIDOのキホン
FIDOのキホン
Yahoo!デベロッパーネットワーク
What's CodeSign
What's CodeSign
Shin Yamamoto
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
日本マイクロソフト株式会社
201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal west
Hiroyuki Yokota
11 ソーシャルブックマーク4
11 ソーシャルブックマーク4
文樹 高橋
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Tech Summit 2016
Similar to Sh exricise
(12)
Idcon gomi-052715-pub
Idcon gomi-052715-pub
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDO2によるパスワードレス認証が導く新しい認証の世界
FIDOのキホン
FIDOのキホン
What's CodeSign
What's CodeSign
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
201805 webcast and kollective digital media proposal west
201805 webcast and kollective digital media proposal west
11 ソーシャルブックマーク4
11 ソーシャルブックマーク4
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Sh exricise
1.
更新日:2018/12/13 1 セッションハイジャックの対策
2.
セッションハイジャックの対策 2 ようこそ.野仲さん! ようこそ.野仲さん! sessionID=xxx sessionID=xxx 盗聴や推測 被攻撃者 攻撃者 セッションハイジャックは, セッションIDを盗聴や推測されることで成功してしまう ポイントは,セッションIDを取られないようにすることが大切 攻撃の流れ
3.
対策の種類 ① Cookieに有効期限を設定する ② Cookieにセキュア属性を設定する ③
セッションIDを推測困難な値にする ④ セッションIDをURLパラメータに格納しない ⑤ ログイン成功後に新しくセッションを開始する ⑥ セッションIDを固定値にしない 3[参考]IPA,安全なウェブサイトの作り方 , 入手先https://www.ipa.go.jp/files/000017316.pdf,
4.
対策① 4 Cookieに有効期限を設定する
5.
Cookieに有効期限を設定する理由 5 Cookieの有効期限を必要最低限の時間に設定する セッションハイジャックが行われる 可能性を低減させることができる Cookieは有効期限が過ぎるまでブラウザに保持される Cookieの有効期限を長めに設定してしまうと 保持しているCookieが盗まれる可能性が高くなる
6.
Cookieに有効期限を設定する方法 setMaxAge() Cookieのプロパティの一つ 引数で指定した有効期限になるとCookieは破棄され る 実装方法 引数に入る有効期限の単位は(秒) 有効期限はグリニッジ標準時で表示される 6 Java・JSPの場合
7.
対策② 7 Cookieにセキュア属性を設定する
8.
CookieにSecure属性を設定する理由 8 攻撃者が通信をパケットを盗聴し, CookieからセッションIDを盗むような攻撃を 防ぐことができる CookieにSecure属性を設定すると, WebブラウザーはHTTPSによる通信時のみ CookieをWebサーバーに送信する
9.
CookieにSecure属性の設定する setSecure(boolean) Cookieのプロパティの一つ HTTPSまたはSSLの場合のみCookieを送る 実装方法 引数がtrueのため,このCookieはHTTPSまたはSSLの 場合のみCookieを送ります 9 Java・JSPの場合
10.
対策③ 10 セッションIDを推測困難な値に 設定する
11.
セッションIDの推測による対策 11 セッションIDを生成する際に推測が困難な値を設定する 対策 セッションIDを時刻等の簡単な情報を基に生成したり 連番で設定してしまうと攻撃者に 推測される恐れがあります. この対策はセッションIDを推測されるような セッションハイジャックに有効です なぜなら
12.
対策④ 12 セッションIDをURLパラメータに格納しない
13.
セッションIDの固定化による対策 セッションIDをURLパラメータに格納しない 対策 セッションIDをURLに含んで送ると攻撃者は それを利用して攻撃できてしまう なぜなら 対策がされていないWebサイト
14.
対策⑤ 14 ログイン成功後に,新しくセッションを 開始する
15.
セッションIDの固定化による対策 15 ログイン成功後に,新しくセッションを開始する 対策 ユーザに同じ値のセッションIDを保持し続けることは リスクが伴う.そのために,ログインが成功したら 新しいセッションIDを発行し,過去のセッションIDを 破棄する処理が必要です. なぜなら
16.
対策⑥ 16 セッションIDを固定値にしない
17.
セッションIDの固定化による対策 17 セッションIDを固定値にしない 対策 セッションIDが固定値の場合,一度セッションIDを 盗まれるといつでも攻撃者にセッションハイジャック されてしまいます.そのため,利用者のログインごとに 新しくセッションIDを発行し固定値にしない必要があります. この対策はセッションIDの固定化による セッションハイジャックに有効です. なぜなら
18.
18 対策の手法について理解できたら 実際にセッションハイジャックが行える Webサイトに対策を講じてみましょう
19.
対策演習機能の準備 脆弱性付きWebサイトのソースはホストOS上の ホーム ->
workspace -> SecPowerLab -> web にあります. テキストエディットを起動して編集できる 準備をしてください また,解答ページに初めのソースコードを 用意しているので,リセットしたいときは コピペで利用してください 19 次ページに続く
20.
演習用Webサイトの構成 20 トップページ ログインページ ログイン結果 表示ページ p_authorize.jspindex.html p_login.html 今回はこの ログイン結果表示ページに 対策を講じてください
21.
課題 21 どうしてもわからなくなってしまった時のために 演習用Webサイトにヒントページを用意しています 対策を施せたら再度,攻撃を行い攻撃が行いか 確認してください – 新しくユーザ登録をするところからお願いします 最後に,解答ペーシより解答を確認しましょう 本スライド以降で説明する①〜⑥の対策のうち セッションIDを盗用する セッションハイジャックに対応する ①,②の対策を実践してみましょう ※対策①はクッキーの有効期限を15分に設定してください
22.
22 演習はこれで終了です おつかれさまでした!! 対策を講じたら 再度,攻撃を行って攻撃ができないか確認してください
Download now