20190208 脆弱性と共生するには

OWASP Nagoya
OWASP Nagoya
Feb. 16, 2019
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
1 of 13

20190208 脆弱性と共生するには

Feb. 16, 2019
Download to read offline
Presentations & Public Speaking

20190208 OWASP Nagoya Chapter ミーティング 第9回 脆弱性と共生するには

OWASP Nagoya
OWASP Nagoya

Recommended

20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!OWASP Nagoya980 views18 slides
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scriptingOWASP Nagoya197 views82 slides
ブラウザとWebサーバとXSSの話@Shibuya.xssブラウザとWebサーバとXSSの話@Shibuya.xss
ブラウザとWebサーバとXSSの話@Shibuya.xssToshiharu Sugiyama4.1K views15 slides
CSP Lv.2の話CSP Lv.2の話
CSP Lv.2の話Yu Yagihashi14.3K views35 slides
XSS再入門XSS再入門
XSS再入門Hiroshi Tokumaru88.4K views31 slides
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話Yutaka Maehira11.6K views26 slides

More Related Content

Slideshows for you

XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato KinugawaCODE BLUE7.6K views84 slides
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOnmasafumi masutani539 views66 slides
今日から始めるXSS今日から始めるXSS
今日から始めるXSSllamakko_cafe4.7K views46 slides
Webセキュリティ入門(xss)Webセキュリティ入門(xss)
Webセキュリティ入門(xss)KageShiron1.4K views17 slides
libinjection : SQLi から XSS へ by ニック・ガルブレスlibinjection : SQLi から XSS へ by ニック・ガルブレス
libinjection : SQLi から XSS へ by ニック・ガルブレスCODE BLUE2.7K views37 slides
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -Isao Takaesu3.1K views29 slides

Slideshows for you(20)

XSSフィルターを利用したXSS攻撃 by Masato KinugawaXSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE7.6K views
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani539 views
今日から始めるXSS今日から始めるXSS
今日から始めるXSS
llamakko_cafe4.7K views
Webセキュリティ入門(xss)Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
KageShiron1.4K views
libinjection : SQLi から XSS へ by ニック・ガルブレスlibinjection : SQLi から XSS へ by ニック・ガルブレス
libinjection : SQLi から XSS へ by ニック・ガルブレス
CODE BLUE2.7K views
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu3.1K views
機械学習を使ったハッキング手法機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu4K views
見つけた脆弱性について(cybozu.com Security Challenge)見つけた脆弱性について(cybozu.com Security Challenge)
見つけた脆弱性について(cybozu.com Security Challenge)
Masato Kinugawa10.4K views
XSSの傾向と対策XSSの傾向と対策
XSSの傾向と対策
Yusuke Sangenya918 views
Djangoのセキュリティとその実装Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki335246.1K views
0511 lt0511 lt
0511 lt
kataware383 views
AVTOKYO2014 Obsevation of VAWTRAK(ja)AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田3.5K views
MBSD Cybersecurity Challenges 2018MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki167 views
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIHTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA12.9K views
Pythonを使った簡易診断スクリプトの作り方Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
Yuichi Hattori2.9K views
ReactjsReactjs
Reactjs
しくみ製作所2.2K views
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu1.5K views
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg1K views
今夜分かるJSによるクリックジャッキング対策の迂回方法今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi3.4K views
Webセキュリティの実践のための攻防戦演習についてWebセキュリティの実践のための攻防戦演習について
Webセキュリティの実践のための攻防戦演習について
Yuichi Hattori660 views

Similar to 20190208 脆弱性と共生するには

ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム527 views34 slides
MBSD Cybersecurity Challenges 2018MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018gomafu04 59 views51 slides
Basic vulnerabilityBasic vulnerability
Basic vulnerabilityNet Kanayan1.1K views30 slides
安全なWebアプリ構築1回安全なWebアプリ構築1回
安全なWebアプリ構築1回Project Samurai322 views34 slides
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」Motohiko Sato3.1K views97 slides
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA221 views49 slides

Similar to 20190208 脆弱性と共生するには(20)

ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム527 views
MBSD Cybersecurity Challenges 2018MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
gomafu04 59 views
Basic vulnerabilityBasic vulnerability
Basic vulnerability
Net Kanayan1.1K views
安全なWebアプリ構築1回安全なWebアプリ構築1回
安全なWebアプリ構築1回
Project Samurai322 views
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
FUJITSUファミリ会 2020 秋季大会用プレゼン #1 「新たなサイバー攻撃に 関する脅威の認知」
Motohiko Sato3.1K views
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
Riotaro OKADA221 views
osc2016do ひげで学ぶWebアプリケーションに潜むリスクosc2016do ひげで学ぶWebアプリケーションに潜むリスク
osc2016do ひげで学ぶWebアプリケーションに潜むリスク
Ierae Security4.9K views
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru55.3K views
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
Hiromu Shioya2.5K views
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
CODE BLUE1.1K views
春の脆弱性祭り 2017/06/13春の脆弱性祭り 2017/06/13
春の脆弱性祭り 2017/06/13
dcubeio2.7K views
Webアプリのセキュリティ 20170824Webアプリのセキュリティ 20170824
Webアプリのセキュリティ 20170824
Masakazu Ikeda1.7K views
3人情シスとクラウド(IDCFクラウドmeetup!in Osaka vol.1 LT)3人情シスとクラウド(IDCFクラウドmeetup!in Osaka vol.1 LT)
3人情シスとクラウド(IDCFクラウドmeetup!in Osaka vol.1 LT)
Mitsuhiro Yamashita540 views
Web担当者が知っておくべきPHPとセキュリティWeb担当者が知っておくべきPHPとセキュリティ
Web担当者が知っておくべきPHPとセキュリティ
Yasuo Ohgaki5.6K views
IDAの脆弱性とBug Bounty by 千田 雅明IDAの脆弱性とBug Bounty by 千田 雅明
IDAの脆弱性とBug Bounty by 千田 雅明
CODE BLUE3.4K views
Analyzing of Malicious JavaScript[jp]Analyzing of Malicious JavaScript[jp]
Analyzing of Malicious JavaScript[jp]
Kazuki Takada77 views
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
【de:code 2020】 もうセキュリティはやりたくない!! 第 5 弾 ~Microsoft の xDR で攻撃者を追え!!~​
日本マイクロソフト株式会社472 views
サイバーセキュリティ錬金術サイバーセキュリティ錬金術
サイバーセキュリティ錬金術
Isao Takaesu1.4K views
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno15.6K views
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
cluclu_land149 views

More from OWASP Nagoya

OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備OWASP Nagoya296 views20 slides
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-onOWASP Nagoya149 views18 slides
(A2)broken authentication(A2)broken authentication
(A2)broken authenticationOWASP Nagoya198 views24 slides
Developer toolsDeveloper tools
Developer toolsOWASP Nagoya144 views28 slides
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-onOWASP Nagoya315 views18 slides
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP Nagoya324 views30 slides

More from OWASP Nagoya(16)

OWASP TOP10 A01:2021 – アクセス制御の不備OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya296 views
#24 prepare for_hands-on#24 prepare for_hands-on
#24 prepare for_hands-on
OWASP Nagoya149 views
(A2)broken authentication(A2)broken authentication
(A2)broken authentication
OWASP Nagoya198 views
Developer toolsDeveloper tools
Developer tools
OWASP Nagoya144 views
#23 prepare for_hands-on#23 prepare for_hands-on
#23 prepare for_hands-on
OWASP Nagoya315 views
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみようOWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya324 views
Rethinking car security based on autonomous driving and advanced driving supportRethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya254 views
Owasp top10 2017 a4 xxeOwasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya729 views
OWASP Nagoya_WordPress_Handson_3OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya414 views
OWASP Nagoya_WordPress_Handson_2OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya1.5K views
OWASP Nagoya_WordPress_Handson_1OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya239 views
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya714 views
WPSCanによるWordPressの脆弱性スキャンWPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya10.3K views
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya4.9K views
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya5.7K views
20170909 第13回名古屋情報セキュリティ勉強会 LT20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya862 views

20190208 脆弱性と共生するには

  1. 脆弱性と共生するには 宮城 正伸

  2. Profile 2 ・元 Webアプリケーション 脆弱性診断員 宮城 正伸 ・OWASP Nagoya スタッフ ・Github たまに更新します ・得意な言語は PythonとPHP @npemasa50 ツーリング仲間募集中!

  3. Agenda 3 ・前回の発表概要 ・まとめ ・重大なお知らせ

  4. XSSとは? 4 ・Webアプリの脆弱性 ・ユーザの入力値をそのまま出力 ・DBに保存された値をそのまま出力

  5. XSSの怖いところ 5 ・個人情報漏洩につながる可能性 ・被害者なのに加害者!? ・etc...

  6. XSSの実装例(悪用) 6 脆弱なページ ②XSS発火! ①偽リンククリック ③Cookie情報表示 ④攻撃者へCookie送信

  7. XSSの対策方法 7 NG Case: OK Case: $user = $_GET['user']; echo "ようこそ ". $user . "さん"; $user = htmlspecialchars($_GET['user']); echo "ようこそ ". $user . "さん"; ・ユーザからの入力値を信用しない! ようこそ&lt;script&gt;alert(1)&lt;/script&gt;さん ようこそ<script>alert(1)</script>さん

  8. 認証不備とは? 8 ・認証設定が適切でない(Deny) ・パスワードだけの認証? 今時遅れてるね(^-^ )b

  9. 認証不備の怖いところ 9 ・関係者以外知らないはずのURLを・・・ ・パスワードリスト攻撃、辞書攻撃、 ジョーアカウント攻撃等に脆弱

  10. まとめ 10 脆弱性の概要・対策方法を知ろう! 自分が関わるアプリは安全か調べよう! 守るべき情報を取捨選択しよう!

  11. 重大なお知らせ 11 脆弱性診断勉強会をスタートします!! 概要:読書、ハンズオン 場所:未定(名古屋)

  12. 重大なお知らせ 12 知的好奇心旺盛な人、吸収しましょう! 自分で見つけたい人、応援します! 自作アプリを攻撃して欲しいドMな人、 攻撃対象を欲しているドSな人を紹介します!

  13. Coming Soon…