Submit Search
Upload
niitan×cafe×sec第6回配信(2014/07/29)
•
0 likes
•
191 views
niitancafe
Follow
niitan×cafe×secの第6回目配信(2014.07.29)の際の資料。 前期総集編です。
Read less
Read more
Education
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
MitsunoriMatsushita_HCI193
MitsunoriMatsushita_HCI193
Matsushita Laboratory
映画”創客兄弟” 協力と撮影場所 ストーリー 登場人物紹介 by 村谷英昭
映画”創客兄弟” 協力と撮影場所 ストーリー 登場人物紹介 by 村谷英昭
Nico-Tech Shenzhen/ニコ技深圳コミュニティ
研究内容(丹羽美乃)
研究内容(丹羽美乃)
美乃 丹羽
THE INTERNET INTERCOM
THE INTERNET INTERCOM
Net Toby
Intermediate announcement
Intermediate announcement
Yuta Iwamoto
Niitancafesec第7回放送用
Niitancafesec第7回放送用
niitancafe
56f05172e78181d18019a03dedb5233d
56f05172e78181d18019a03dedb5233d
Надія Гавриш
niitan×cafe×sec第7回配信(2014/10/14)
niitan×cafe×sec第7回配信(2014/10/14)
niitancafe
Recommended
MitsunoriMatsushita_HCI193
MitsunoriMatsushita_HCI193
Matsushita Laboratory
映画”創客兄弟” 協力と撮影場所 ストーリー 登場人物紹介 by 村谷英昭
映画”創客兄弟” 協力と撮影場所 ストーリー 登場人物紹介 by 村谷英昭
Nico-Tech Shenzhen/ニコ技深圳コミュニティ
研究内容(丹羽美乃)
研究内容(丹羽美乃)
美乃 丹羽
THE INTERNET INTERCOM
THE INTERNET INTERCOM
Net Toby
Intermediate announcement
Intermediate announcement
Yuta Iwamoto
Niitancafesec第7回放送用
Niitancafesec第7回放送用
niitancafe
56f05172e78181d18019a03dedb5233d
56f05172e78181d18019a03dedb5233d
Надія Гавриш
niitan×cafe×sec第7回配信(2014/10/14)
niitan×cafe×sec第7回配信(2014/10/14)
niitancafe
Gebeurtenis
Gebeurtenis
Juan Lopez
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Thomas Aspinall
Game sense
Game sense
neilaismail
Sky the cloud wi fi hotels presentation
Sky the cloud wi fi hotels presentation
Thomas Aspinall
Anarchismtalk 100712183823-phpapp01
Anarchismtalk 100712183823-phpapp01
arcie Baric
Patches Services
Patches Services
Patches Services
ResumeFa_Majid Pouraminian
ResumeFa_Majid Pouraminian
Majid Pouraminian
Tai lieu-on-thi-lop-10-mon-toan
Tai lieu-on-thi-lop-10-mon-toan
Nguyễn Ngọc Tài
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ssusere0a682
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
Takayuki Itoh
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
Tokyo Institute of Technology
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
YukiTerazawa
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
Tokyo Institute of Technology
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
Kochi Eng Camp
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
koheioishi1
More Related Content
Viewers also liked
Gebeurtenis
Gebeurtenis
Juan Lopez
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Thomas Aspinall
Game sense
Game sense
neilaismail
Sky the cloud wi fi hotels presentation
Sky the cloud wi fi hotels presentation
Thomas Aspinall
Anarchismtalk 100712183823-phpapp01
Anarchismtalk 100712183823-phpapp01
arcie Baric
Patches Services
Patches Services
Patches Services
ResumeFa_Majid Pouraminian
ResumeFa_Majid Pouraminian
Majid Pouraminian
Tai lieu-on-thi-lop-10-mon-toan
Tai lieu-on-thi-lop-10-mon-toan
Nguyễn Ngọc Tài
Viewers also liked
(8)
Gebeurtenis
Gebeurtenis
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Janet and The Cloud / Sky - Universities driving value from Guest Wi-Fi
Game sense
Game sense
Sky the cloud wi fi hotels presentation
Sky the cloud wi fi hotels presentation
Anarchismtalk 100712183823-phpapp01
Anarchismtalk 100712183823-phpapp01
Patches Services
Patches Services
ResumeFa_Majid Pouraminian
ResumeFa_Majid Pouraminian
Tai lieu-on-thi-lop-10-mon-toan
Tai lieu-on-thi-lop-10-mon-toan
Recently uploaded
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ssusere0a682
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
Takayuki Itoh
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
Tokyo Institute of Technology
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
YukiTerazawa
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
Tokyo Institute of Technology
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
Kochi Eng Camp
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
koheioishi1
Recently uploaded
(7)
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
2024年度 東京工業大学 工学院 機械系 大学院 修士課程 入試 説明会 資料
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
次世代機の製品コンセプトを描く ~未来の機械を創造してみよう~
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
niitan×cafe×sec第6回配信(2014/07/29)
1.
2014.07.29配信 総集編
2.
これまでの放送内容
3.
第一回 PC遠隔操作 解説
松本さん(ネットエージェント) 加賀谷さん(IPA)
4.
第1回「PC遠隔操作事件」 第1回は片山祐輔容疑者が他人のPCを遠隔操作し、殺人予 告などを行った事件が題材。
事件の手法は、CSRFとトロイの木馬型マルウェアの二つ。 いずれも、容疑者がある程度の知識・技術があったため犯行が 可能だった。 しかし、この遠隔操作の知識・技術は必ずしも悪いことに使わ れているのではない。要は使う人次第。 このような事件にあわないようにする最低限の対策は「信頼出 来ない場所で入手した出所不明のファイルを開くことを避ける」 ということである。
5.
第二回 遠隔操作アプリ 解説
加賀谷さん(IPA)
6.
第三回 LINE乗っ取り 解説
辻さん(ソフトバンクテクノロジー) 新井さん(トレンドマイクロ)
7.
第四回 オンラインバンキングのフィッシング 解説
相戸さん
8.
第4回「オンラインバンキングのフィッシング詐欺について・前 編」 第4回はゼミ生に届いたフィッシングメールやIPAの今月の呼び
かけ、旬なニュースであったことから題材となった。 ゼミ生の作成した資料では、近年、被害件数・金額も急増して いることが分かる。 しかし、具体的な話の前に、オンラインバンキングとは何か?と いうのを知りましょうというのが今回の目的。 『放送前半の内容(オンラインバンキングのあれこれ)』 オンラインバンキングは多くの銀行でサービス提供されている インターネット通じて様々な銀行取引が可能なサービス。利用 者側、金融機関側ともに数々のメリットがある。 利用者の実態は社会人が多く、若年層の利用率は低い。
9.
第五回 オンラインバンキングのフィッシング 解説
山本さん(フィッシング対策協議会) 辻さん(ソフトバンクテクノロジー)
10.
続きまして… 『後半の内容(オンラインバンキングのシステムについて)』 専門家の方が送ってくださいました資料を元にオンラインバン
キングの仕組みの知識を深める。 オンラインバンキングのシステムは勘定系システムとWebサー バを連携するハブによってつながっている。 しかし、自社専用のものを作る場合に製作費、保守費が高くな る。 なので、信用金庫の多くはNTTデータのデータセンター(千葉) を共同して使っているため、システムが出来上がっている。 システムの利用料を払えば、導入できる。
11.
CSRF クロスサイトリクエストフォージェリについて
12.
攻撃の原理を大まかに •1攻撃者が、攻撃用のwebページを作成、公開する •2第三者が、攻撃用のwebページにアクセスする
•3第三者は、攻撃者が用意した任意のHTTPリクエス トを送信させられる •4送信させられたHTTPリクエストによって、攻撃者の 意図した操作が行われる 攻撃用のwebページはwwwに公開されたり、HTML形式 のメールとして送信されたりと、様々な形式を持っている
13.
ちょっと具体的に原理を説明 •1攻撃が仕掛けられているサイト、もしくはメールを開く •2そのメールの中で、別のhtmlが呼び出される
•3呼び出されたhtmlに組み込まれているonload属性により、htmlが読 み込まれるのと同時に、そのhtml内のフォームの送信ボタンが自動的 に押される •4被攻撃サイトに自動的にアクセスが行われ、上記のhtmlのフォーム 内に指定された内容の書き込みが自動的に行われる onload属性:そのページが読み込まれるのと同時に動作が行われるもの。 Body要素の中に記述される ちなみにこれらの出来事は全て、仕掛けられているサイトやメール内に 存在する1ピクセル四方の小さなインラインフレームで行われる場合がほ とんどであるため、気付かれにくくなっている
14.
対策 •ログインが必要なサイトが被攻撃サイトである場合、ログインしてい なければ攻撃が届くことは無いので、そういったサイトによくありがち
な「常にログインしておく」みたいな項目のチェックを外し、そのサイト への用が済んだところでログアウトしておくというのが好ましい •HTML形式のメールにも組み込まれていることがあるらしいので、知 らないメールは開かないに越したことはない
15.
実際にあった、CSRFを使用した騒動 •「ぼくはまちちゃん」事件 2005年4月中旬ごろ、mixiにおいて、突如として「ぼくはまちちゃ
ん!こんにちはこんにちは!!」という定型文が、投稿者の意図せぬ まま書き込まれるという事態が発生。 •横浜市小学校襲撃予告事件 もしかしなくても:パソコン遠隔操作事件 横浜市ウェブサイトの意見投稿コーナーに、同市保土ヶ谷区の小 学校への無差別殺人予告が投稿された事件。被害にあったパソコ ンを所有していた大学生が逮捕・起訴され保護観察処分となった が、のちに神奈川県警が誤認逮捕を認めて謝罪した。
16.
XSS(クロスサイトスクリプティング)につい て
17.
XSSとは だいたいこんなもの •外部から悪意のあるスクリプトを送りこんでそれを実行さ
せること。 •外部からスクリプトを送りこまれたとき、それを実行してし まう脆弱性のこと。
18.
そもそもスクリプトって? プログラミング言語のひとつ •ある動作をしてほしいとき、何回もそれを入力するのが面倒なので作られた。
•ある一定の動作をひとまとめにしたものと、それに対応した名前のリストが 集められたもの。 •リストの中にある名前を入力するだけで、それに対応した動作が行われる。
19.
どんなところで使われているの? •XSSに関係することとしては、JavaScriptというスクリプト言語がある。 •WEBページを作るときに使われている。
•時間によって表示する内容が変わったり、ボタンを押すと内容が変わったり するサイトなどを作るときに使われている。
20.
XSSの原理 •掲示板やSNSのコメント欄など、文章を入力できるサイトがあるとする。 •そこにスクリプトを含んだ文章を入力して、書き込みが反映される。
•書き込んだページをみると、スクリプトを含んだ文章が文字ではなく、 スクリプトとして実行される。
21.
XSSの対策 •スクリプトが実行されないようにする •スクリプトの名前は、普通の単語と区別できるように<>や”などの特殊な文
字を利用したものになっている。なので、そういった文字が含まれないように すれば、スクリプトを埋め込めないようにできる。
22.
XSSの具体的な手口
23.
1.違う人のサイトからURLで飛ばさせる方法 1.URLの中に「出力する内容」が含まれている標的のサイトがある。 2.その部分にスクリプトを含んだ内容を入力して、関係のないほかのサイト
にURLを張り付ける。 3.そのURLから標的のサイトに行くと、ブラウザ上でスクリプトが実行される。
24.
1.直接標的となるサイトにスクリプトを打ち 込む方法 1.スクリプトを含んだ書き込みをすることで、対象のサイトにスクリプトを埋
め込む。 2.そのページをみた人のブラウザでスクリプトが実行される。
25.
XSSによって引き起こされる悪意のある行動 例 •クッキーの値を取得あるいは設定することにより、セッションハイジャックする。
•強制的なページ遷移を起こさせ、クロスサイトリクエストフォージェリ対策を 回避する。取得したクッキーを攻撃者側でそのまま利用できない場合に用い られる手法。 •CSSのインポート機能を利用して不正なファイルをロードさせる。 •ページ全体を置き換えることにより、偽のページを作り出す。典型的には フィッシングに用いられる。 •フォームの送信先を置換することにより、入力を第三者サイトに送信するよ う仕向ける。
26.
実際に起こった事例 •Twitter •ツイートされた内容の中にスクリプトが埋め込まれて、ブラウザでそのツイー
トを含んだページが表示されると、同じ内容を打ち込んでツイートする、とい ういたずらが起きた。 •その内容からどんどんほかの人へと広がり、たくさんの人が被害を受けた。 •また、中身が改変されて、悪意のあるサイトに飛ばされたり、悪意のあるツ イート内容が含まれたりした。 •Youtube •コメント欄にスクリプトが埋め込まれて、動画のページを開くとメッセージウィ ンドウが表示され、悪意のある文章が表示されるようになっていた。
Download now