初学者向けの基本知識。

1. セキュリティの基本の基本の基本
2015/06/16 @toku_toku3

2. 今日はなすこと
1. 暗号化と復号とハッシュ
2. WEPとWPA,WPA2
3. PGP
4. XSSとCSRF

3. 1. 暗号化と復号とハッシュ
• 決まった規則に則って、第三者にデータを閲覧された
り改竄されたりしないように変換することを「暗号化」
という。
• 暗号化されたデータをもとに戻すことを「復号」とい
う
• 暗号が可逆方式なのに対して、ハッシュは不可逆な変
換方法

4. 2. WEPとWPA,WPA2
• どちらも無線LANを暗号化するための規格
• WEPは暗号強度が弱いため、現在は使用が非推奨
• WPA/WPA2の違いは暗号化方式

5. 3. PGP
• 公開 暗号方式による暗号化と認証
• PGPを利用するお互いがツールを導入している必要が
ある
• 公開 の真正性を証明するために利用者相互の署名で
検証を行う「信頼の輪」という方式を取る。

6. 4. XSSとCSRF
• XSS
利用者を悪意のあるサイトに誘導した上で、不正なスクリプトを利用者に送り込む。
利用者がそれをwebサーバに送信し、webサーバが不正なスクリプトをそのまま
HTMLデータとしてブラウザに返してしまう脆弱性を持つと、
ブラウザ上で不正なスクリプトが実行されてしまう。

7. 4. XSSとCSRF
• CSRF
利用者を悪意のあるサイトに誘導した上で、偽装したHTTPリクエストを送信させる
スクリプトを含んだ不正なスクリプトを利用者に送り込むことで、
サーバ上で意図しないリクエストが実行されてしまう。
引用: http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.html

8. ほかにも
• SQL/OSインジェクション（OS command injection）
• ディレクトリトラバーサル（Directory traversal）
• セッションハイジャック（Session hijacking）
• DNS/SEOポイゾニング（ DNS/SEO poisoning）
• APT攻撃（Advanced Persistent Threat）

9. ご清聴ありがとうございました。