Submit Search
Upload
セキュリティ実践講座 -優しい愛をあなたに-
•
Download as PPTX, PDF
•
4 likes
•
1,908 views
Masaru Ogura
Follow
2015/5/30のエフスタ!!AIZUの資料です。
Read less
Read more
Internet
Report
Share
Report
Share
1 of 22
Download now
Recommended
ログ勉 Vol.1
ログ勉 Vol.1
Kenji Kobayashi
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Study Group by SciencePark Corp.
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
辞書攻撃をする人は何をどう使っているのか
辞書攻撃をする人は何をどう使っているのか
ozuma5119
「RSpec初心者に送るRSpec最強チュートリアル」発表資料 #sg_study
「RSpec初心者に送るRSpec最強チュートリアル」発表資料 #sg_study
Junichi Ito
地獄Spec
地獄Spec
Tsunenori Oohara
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
01.超初心者向けセキュリティ入門
01.超初心者向けセキュリティ入門
Study Group by SciencePark Corp.
Recommended
ログ勉 Vol.1
ログ勉 Vol.1
Kenji Kobayashi
02.超初心者向けセキュリティ入門(IoT)
02.超初心者向けセキュリティ入門(IoT)
Study Group by SciencePark Corp.
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
辞書攻撃をする人は何をどう使っているのか
辞書攻撃をする人は何をどう使っているのか
ozuma5119
「RSpec初心者に送るRSpec最強チュートリアル」発表資料 #sg_study
「RSpec初心者に送るRSpec最強チュートリアル」発表資料 #sg_study
Junichi Ito
地獄Spec
地獄Spec
Tsunenori Oohara
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
01.超初心者向けセキュリティ入門
01.超初心者向けセキュリティ入門
Study Group by SciencePark Corp.
今から始めるFiddler script
今から始めるFiddler script
彰 村地
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
テレワーク特有のセキュリティについて考えてみた
テレワーク特有のセキュリティについて考えてみた
AkitadaOmagari
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
atk1234
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
NHN テコラス株式会社
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
yoshinori matsumoto
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
NHN テコラス株式会社
弱いパスワードの作り方
弱いパスワードの作り方
Sho Ezawa
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
IIJ
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
20150704 icst 2015-maruwakari_day_matsuo
20150704 icst 2015-maruwakari_day_matsuo
Kazuaki Matsuo
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
RubyとEyeTribeで視線追跡をする
RubyとEyeTribeで視線追跡をする
Yukimitsu Izawa
06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)
Study Group by SciencePark Corp.
More Related Content
What's hot
今から始めるFiddler script
今から始めるFiddler script
彰 村地
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
zaki4649
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Shinichiro Kawano
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
テレワーク特有のセキュリティについて考えてみた
テレワーク特有のセキュリティについて考えてみた
AkitadaOmagari
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
zaki4649
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
atk1234
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
NHN テコラス株式会社
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
NHN テコラス株式会社
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
NHN テコラス株式会社
20200214 the seminar of information security
20200214 the seminar of information security
SAKURUG co.
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
yoshinori matsumoto
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
NHN テコラス株式会社
弱いパスワードの作り方
弱いパスワードの作り方
Sho Ezawa
What's hot
(14)
今から始めるFiddler script
今から始めるFiddler script
Let's verify the vulnerability-脆弱性を検証してみよう!-
Let's verify the vulnerability-脆弱性を検証してみよう!-
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
Owasp top10 HandsOn
Owasp top10 HandsOn
テレワーク特有のセキュリティについて考えてみた
テレワーク特有のセキュリティについて考えてみた
ノリとその場の勢いでPocを作った話
ノリとその場の勢いでPocを作った話
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
G-study 第6回 LT4:セキュリティパッチを放置すると・・・
できることから始めるセキュリティ対策
できることから始めるセキュリティ対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
2017年のセキュリティ 傾向と対策講座
2017年のセキュリティ 傾向と対策講座
20200214 the seminar of information security
20200214 the seminar of information security
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
お手軽・安全・安心のサーバー環境を手に入れましょう。@大阪
弱いパスワードの作り方
弱いパスワードの作り方
Similar to セキュリティ実践講座 -優しい愛をあなたに-
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
IIJ
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
Takumi Ishibashi
20150704 icst 2015-maruwakari_day_matsuo
20150704 icst 2015-maruwakari_day_matsuo
Kazuaki Matsuo
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
RubyとEyeTribeで視線追跡をする
RubyとEyeTribeで視線追跡をする
Yukimitsu Izawa
06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)
Study Group by SciencePark Corp.
アジャイルによくきく?モデリング
アジャイルによくきく?モデリング
Iwao Harada
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
JAWS-UG TOKAIDO 20140627
JAWS-UG TOKAIDO 20140627
陽平 山口
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
yoshinori matsumoto
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
障害発生時に抑えておきたい基礎知識
障害発生時に抑えておきたい基礎知識
Kei IWASAKI
Webアプリって奥が深いんです
Webアプリって奥が深いんです
abend_cve_9999_0001
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
CLARA ONLINE, Inc.
セキュキャンのススメ
セキュキャンのススメ
shutingrz
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
人類は如何にして大切な データベースを守るべきか
人類は如何にして大切な データベースを守るべきか
Mikiya Okuno
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
Masahiro NAKAYAMA
Similar to セキュリティ実践講座 -優しい愛をあなたに-
(20)
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
マルウェア感染!!そのときあなたがやるべきこと、やってはいけないこと
セキュリティを学ぼう~Ctfを添えて~
セキュリティを学ぼう~Ctfを添えて~
20150704 icst 2015-maruwakari_day_matsuo
20150704 icst 2015-maruwakari_day_matsuo
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
RubyとEyeTribeで視線追跡をする
RubyとEyeTribeで視線追跡をする
06.超初心者向けセキュリティ入門(.netの解析と対策)
06.超初心者向けセキュリティ入門(.netの解析と対策)
アジャイルによくきく?モデリング
アジャイルによくきく?モデリング
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
JAWS-UG TOKAIDO 20140627
JAWS-UG TOKAIDO 20140627
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
障害発生時に抑えておきたい基礎知識
障害発生時に抑えておきたい基礎知識
Webアプリって奥が深いんです
Webアプリって奥が深いんです
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
【くららカフェ#4】Heartbleed、 POODLEとはなんだったのか+FREAK
セキュキャンのススメ
セキュキャンのススメ
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
人類は如何にして大切な データベースを守るべきか
人類は如何にして大切な データベースを守るべきか
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
クラウドセキュリティ基礎 @セキュリティ・ミニキャンプ in 東北 2016 #seccamp
More from Masaru Ogura
20220624 私の検証環境のいま
20220624 私の検証環境のいま
Masaru Ogura
20220314 Amazon Linux2022 をさわってみた
20220314 Amazon Linux2022 をさわってみた
Masaru Ogura
20211120 Automating EC2 operations / EC2運用の自動化
20211120 Automating EC2 operations / EC2運用の自動化
Masaru Ogura
20200912 昔、オンプレミスでやっていたことを AWS でやるとどうなるか
20200912 昔、オンプレミスでやっていたことを AWS でやるとどうなるか
Masaru Ogura
20200623 Client VPNの使いどころ
20200623 Client VPNの使いどころ
Masaru Ogura
20191010 電話でペイをやってみた
20191010 電話でペイをやってみた
Masaru Ogura
20181026 Backlogで改善するプロジェクト管理
20181026 Backlogで改善するプロジェクト管理
Masaru Ogura
20180920 セキュリティグループとNACL
20180920 セキュリティグループとNACL
Masaru Ogura
20180523 S3雑記
20180523 S3雑記
Masaru Ogura
20170723 インターネット安全教室(富良野)
20170723 インターネット安全教室(富良野)
Masaru Ogura
IT略称の読み方
IT略称の読み方
Masaru Ogura
シェルスクリプトで作るコンフィグ管理サーバ
シェルスクリプトで作るコンフィグ管理サーバ
Masaru Ogura
教育に生かすしゅはり
教育に生かすしゅはり
Masaru Ogura
ネットワーク運用のお仕事
ネットワーク運用のお仕事
Masaru Ogura
More from Masaru Ogura
(14)
20220624 私の検証環境のいま
20220624 私の検証環境のいま
20220314 Amazon Linux2022 をさわってみた
20220314 Amazon Linux2022 をさわってみた
20211120 Automating EC2 operations / EC2運用の自動化
20211120 Automating EC2 operations / EC2運用の自動化
20200912 昔、オンプレミスでやっていたことを AWS でやるとどうなるか
20200912 昔、オンプレミスでやっていたことを AWS でやるとどうなるか
20200623 Client VPNの使いどころ
20200623 Client VPNの使いどころ
20191010 電話でペイをやってみた
20191010 電話でペイをやってみた
20181026 Backlogで改善するプロジェクト管理
20181026 Backlogで改善するプロジェクト管理
20180920 セキュリティグループとNACL
20180920 セキュリティグループとNACL
20180523 S3雑記
20180523 S3雑記
20170723 インターネット安全教室(富良野)
20170723 インターネット安全教室(富良野)
IT略称の読み方
IT略称の読み方
シェルスクリプトで作るコンフィグ管理サーバ
シェルスクリプトで作るコンフィグ管理サーバ
教育に生かすしゅはり
教育に生かすしゅはり
ネットワーク運用のお仕事
ネットワーク運用のお仕事
Recently uploaded
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ivanwang53
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Taka Narita
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
ivanwang53
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ivanwang53
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
okitamasashi
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
ivanwang53
Recently uploaded
(6)
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
セキュリティ実践講座 -優しい愛をあなたに-
1.
セキュリティ実践講座 -優しい愛をあなたに- 2015/5/30 Sat エフスタ!!AIZU
2.
自己紹介 • 名前 :小倉
大 (おぐら まさる) • Twitter :@MasaruOgura • 北海道出身 • ネットワークエンジニア • エフスタ!!TOKYOのスタッフ • SPREAD情報セキュリティマイスター • スイーツ大好き
3.
アジェンダ • 目的 • 留意事項 •
SQLインジェクションとは • デモ環境説明 • デモ・解説 • 対策 • まとめ
4.
目的 • SQLインジェクションを知る - 防御のために攻撃を理解する •
セキュリティへの関心を高める - 家のローカル環境で試してくれる人がいるといいな
5.
留意事項 • インターネット上のWebサーバに攻撃し てはいけません - 法的措置をとられる可能性があります •
私はネットワークエンジニアです
6.
SQLインジェクションとは ※SQLインジェクション - Wikipedia http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82 %AF%E3%82%B7%E3%83%A7%E3%83%B3 SQLインジェクションとは、アプリケーションのセキュリ ティ上の不備を意図的に利用し、アプリケーションが想定 しないSQL文を実行させることにより、データベースシス テムを不正に操作する攻撃方法のこと。また、その攻撃を 可能とする脆弱性のこと。 悪意のある攻撃者
Webサーバ データベース 不正なリクエスト 処理結果を取得 不正なリクエスト 不正なリクエスト を処理
7.
デモ環境説明 (1/2) デモにBadStore.netを利用します。 BadStore.net は、脆弱性をわざと作りこん である
Linuxです。 ※2015/5/6に正規のサイトにアクセスしたのですが、接続できなかっ たので、もしかしたら提供が終了しているかもしれません。
8.
Windows7上のVMWarePlayerで、 BadStore.netを起動し、HostOSから GuestOSに対してSQLインジェクションを 実施 デモ環境説明 (2/2) 192.168.177.0/24 .254 .128 GuestOS(BadStore.net)HostOS(Windows7)
9.
デモ・解説 (1/6) 事前に以下のユーザを作成済み Email Address
: phenix Password : phenix
10.
デモ・解説 (2/6) phenixユーザでログイン Email Address
: phenix Password : phenix - SQL文のイメージ select * from <Table名> where email= ‘phenix’ and passwd=‘phenix’;
11.
デモ・解説 (3/6) Email Passwd
Age Address satoshi konkatsu 35 Tokyo phenix phenix 41 koriyama kageyama gesui 36 moriya dj kato 30 Aizu hayash sportsbar 30 Koriyama : データベース例
12.
デモ・解説 (4/6) phenixユーザがいることを知っている場合 Email Address
: phenix ‘ or ‘ 1=1’ --‘ Password : なし - SQL文のイメージ select * from <Table名> where email= ‘phenix ‘ or ‘ 1=1’ --‘’ and passwd=‘’;
13.
デモ・解説 (5/6) ユーザ情報を知らない場合 Email Address
: ' or 1=1 or ' Password : なし - SQL文のイメージ select * from <Table名> where email= ‘’ or 1=1 or ‘’ and passwd=‘’;
14.
デモ・解説 (6/6) おまけ Admin権限のユーザ作成 Email Address
: test Password : test Burp Suiteを経由して、リクエスト内容を 変更する ※ Badstore.net User Manual http://www.cs.umd.edu/class/fall2012/cmsc498L/materials/BadStore_net_v1_2_Manual.pdf
15.
対策 (1/4) 脆弱性検査ツールを利用 ※ IPAテクニカルウォッチ
「ウェブサイトにおける脆弱性検査手法の紹介(ウェブアプリケーション検査編)」 https://www.ipa.go.jp/files/000035859.pdf
16.
対策 (2/4) OWASP ZAP使用例
17.
対策 (3/4) Webサイトの管理者は、既知の脆弱性について対 策を実施しましょう Webサイトを公開する前にすること 1. 脆弱性検査ツールで脆弱性の有無を確認 2.
結果の内容を確認 3. 脆弱性がある場合、脆弱性対策を実施 4. もう一度、脆弱性検査ツールで修正を確認 ※4で脆弱性を検知する場合は、2~4を繰り返す
18.
対策 (4/4) ユーザ側でできること ・ウイルス対策ソフトを導入し、定義ファイルを 最新に保つ ・OSやアプリケーションにセキュリティパッチを 適用する ・パスワードの使いまわしをしない
19.
まとめ ・脆弱性があればSQLインジェクションなどの攻 撃は簡単にできる ・脆弱性の知識がなくても、ツールを利用するこ とで、既知の脆弱性の有無を確認できる ・脆弱性対策を実施し、セキュリティリスクを低 減する
20.
ご清聴ありがとうございました
21.
Appendix 参考資料 「わざと脆弱性を持たせたWebアプリ」で練習を http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html 警察庁 サイバー犯罪対策 不正アクセス行為の禁止等に関する法律の解説 https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf IPA 知っていますか?脆弱性 -
1. SQLインジェクション http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html IPA 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html
22.
Appendix 参考資料 IPA SQLインジェクション対策について http://www.ipa.go.jp/files/000024396.pdf Badstore.net User Manual http://www.cs.umd.edu/class/fall2012/cmsc498L/materials/BadStore_net_ v1_2_Manual.pdf
Editor's Notes
今回、GuestOSからInternet接続は必要ないので、ネットワーク接続をホストオンリーに設定。
-- 以降はコメントになる
WHERE句の中でANDとORを並べると、ANDの論理演算が優先する
マニュアルにあるCheat sheetを利用 ソースにあるroleをUからAに変更する
Download now