Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
脆弱性と共生するには
宮城 正伸
Profile
2
・元 Webアプリケーション
脆弱性診断員
宮城 正伸
・OWASP Nagoya
スタッフ
・Github
たまに更新します
・得意な言語は
PythonとPHP
@npemasa50
ツーリング仲間募集中!
Agenda
3
・前回の発表概要
・まとめ
・重大なお知らせ
XSSとは?
4
・Webアプリの脆弱性
・ユーザの入力値をそのまま出力
・DBに保存された値をそのまま出力
XSSの怖いところ
5
・個人情報漏洩につながる可能性
・被害者なのに加害者!?
・etc...
XSSの実装例(悪用) 6
脆弱なページ
②XSS発火!
①偽リンククリック
③Cookie情報表示 ④攻撃者へCookie送信
XSSの対策方法 7
NG Case:
OK Case:
$user = $_GET['user'];
echo "ようこそ ". $user . "さん";
$user = htmlspecialchars($_GET['user']);
e...
認証不備とは? 8
・認証設定が適切でない(Deny)
・パスワードだけの認証?
今時遅れてるね(^-^ )b
認証不備の怖いところ 9
・関係者以外知らないはずのURLを・・・
・パスワードリスト攻撃、辞書攻撃、
ジョーアカウント攻撃等に脆弱
まとめ 10
脆弱性の概要・対策方法を知ろう!
自分が関わるアプリは安全か調べよう!
守るべき情報を取捨選択しよう!
重大なお知らせ 11
脆弱性診断勉強会をスタートします!!
概要:読書、ハンズオン
場所:未定(名古屋)
重大なお知らせ 12
知的好奇心旺盛な人、吸収しましょう!
自分で見つけたい人、応援します!
自作アプリを攻撃して欲しいドMな人、
攻撃対象を欲しているドSな人を紹介します!
Coming Soon…
Upcoming SlideShare
Loading in …5
×

20190208 脆弱性と共生するには

233 views

Published on

20190208 OWASP Nagoya Chapter ミーティング 第9回
脆弱性と共生するには

  • Be the first to comment

  • Be the first to like this

20190208 脆弱性と共生するには

  1. 1. 脆弱性と共生するには 宮城 正伸
  2. 2. Profile 2 ・元 Webアプリケーション 脆弱性診断員 宮城 正伸 ・OWASP Nagoya スタッフ ・Github たまに更新します ・得意な言語は PythonとPHP @npemasa50 ツーリング仲間募集中!
  3. 3. Agenda 3 ・前回の発表概要 ・まとめ ・重大なお知らせ
  4. 4. XSSとは? 4 ・Webアプリの脆弱性 ・ユーザの入力値をそのまま出力 ・DBに保存された値をそのまま出力
  5. 5. XSSの怖いところ 5 ・個人情報漏洩につながる可能性 ・被害者なのに加害者!? ・etc...
  6. 6. XSSの実装例(悪用) 6 脆弱なページ ②XSS発火! ①偽リンククリック ③Cookie情報表示 ④攻撃者へCookie送信
  7. 7. XSSの対策方法 7 NG Case: OK Case: $user = $_GET['user']; echo "ようこそ ". $user . "さん"; $user = htmlspecialchars($_GET['user']); echo "ようこそ ". $user . "さん"; ・ユーザからの入力値を信用しない! ようこそ&lt;script&gt;alert(1)&lt;/script&gt;さん ようこそ<script>alert(1)</script>さん
  8. 8. 認証不備とは? 8 ・認証設定が適切でない(Deny) ・パスワードだけの認証? 今時遅れてるね(^-^ )b
  9. 9. 認証不備の怖いところ 9 ・関係者以外知らないはずのURLを・・・ ・パスワードリスト攻撃、辞書攻撃、 ジョーアカウント攻撃等に脆弱
  10. 10. まとめ 10 脆弱性の概要・対策方法を知ろう! 自分が関わるアプリは安全か調べよう! 守るべき情報を取捨選択しよう!
  11. 11. 重大なお知らせ 11 脆弱性診断勉強会をスタートします!! 概要:読書、ハンズオン 場所:未定(名古屋)
  12. 12. 重大なお知らせ 12 知的好奇心旺盛な人、吸収しましょう! 自分で見つけたい人、応援します! 自作アプリを攻撃して欲しいドMな人、 攻撃対象を欲しているドSな人を紹介します!
  13. 13. Coming Soon…

×