MBSD Cybersecurity Challenges 2017 本選プレゼン

•Download as PPTX, PDF•

1 like•1,163 views

Ryohei Kawashima

Technology

自己紹介
◈ 船橋の学校から来ました
◈ 普段はNWの勉強をしています
◈ 個人的に Ruby が好きです

― 目次 ―
◈ 脆弱性ってなんだろう？
◈ APIサーバってなんだろう？
◈ MBSD BANK で見つけた脆弱性
◈ 実演
◈ まとめ

◈ SQLインジェクションやXSS
→ 機密性と完全性を脅かす
◈ DoS攻撃
→ 可用性を脅かす

APIサーバってなんだろう？
◈ HTTPリクエストに対してリソースを返す
◈ モバイルアプリのバックエンドとして使われる

APIサーバってなんだろう？
◈ HTTPリクエストに対してリソースを返す
◈ モバイルアプリのバックエンドとして使われる
◈ webサイトの脆弱性とほとんど変わらない

MBSD BANKで見つかった脆弱性
◈ webアプリケーションの脆弱性
◈ 設計上の脆弱性

MBSD BANKで見つかった脆弱性
◈ webアプリケーションの脆弱性
◈ 設計上の脆弱性
◈ インフラの脆弱性

webアプリケーションの脆弱性
◈ SQLインジェクション
◈ 格納型XSS
◈ ファイルインクルード攻撃

設計上の脆弱性
◈ SESSIONID一覧が閲覧可能
◈ phpinfo(); が閲覧可能
◈ 初期パスワードが数字小文字8文字固定
◈ パスワードに試行回数制限が無い
◈ IP制限が機能していない

インフラの脆弱性
◈ HSTSが有効化されていない
◈ サーバが19分で応答しなくなる
◈ shutdownユーザのパスワードがshutdown
◈ 自動ディレクトリ一覧表示機能が有効になっている

まとめ
◈ APIサーバでもwebの脆弱性は存在する
◈ チェックをサボると経済的打撃と共に信頼を失う
◈ MBSD BANK がリリースされたら大変
◈ リリース前にセキュリティは入念なチェックが必要
(お金が掛かっても MBSDさんにお願いした方が良い)

What's hot

NodeについてNatsuki Yamanaka

擬似乱数生成器の評価Taku Miyakawa

MVCフレームワーク Sails.jsについて機能紹介kamiyam .

Node.js を選ぶとき選ばないときRyunosuke SATO

Node.js入門俊夫森

Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −Kohei Asai

リテラルと型の続きの話 #__swift__Tomohiro Kumagai

Playで作るwebsocketサーバke-m kamekoopa

最近のフロントエンドツールの紹介Ryo Iinuma

20091119_sinatraを使ってみたngi group.

Swiftのswitchはとってもパワフル！akatsuki174

RVM with Server EnvironmentYukimitsu Izawa

VagrantでAzureを使ってみた話Yuta Matsumura

Symfony2 cachingHidenori Goto

Node.js基礎の基礎 - Miyazaki.js vol.2Nobuhiro Nakashima

もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~Ryunosuke SATO

What webpage calls.Naoaki Onozaki

はじめる Ember.js！！ ~ Getting started with ember.js ~Ryunosuke SATO

コンパイラ指向ReVIEWMasahiro Wakame

Node.js×mongo dbで3年間サービス運用してみた話leverages_event

What's hot (20)

Nodeについて

擬似乱数生成器の評価

MVCフレームワーク Sails.jsについて機能紹介

Node.js を選ぶとき選ばないとき

Node.js入門

Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −

リテラルと型の続きの話 #__swift__

Playで作るwebsocketサーバ

最近のフロントエンドツールの紹介

20091119_sinatraを使ってみた

Swiftのswitchはとってもパワフル！

RVM with Server Environment

VagrantでAzureを使ってみた話

Symfony2 caching

Node.js基礎の基礎 - Miyazaki.js vol.2

もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~

What webpage calls.

はじめる Ember.js！！ ~ Getting started with ember.js ~

コンパイラ指向ReVIEW

Node.js×mongo dbで3年間サービス運用してみた話

Recently uploaded

業務で生成AIを活用したい人のための生成AI入門講座（社外公開版：キンドリルジャパン社内勉強会：2024年4月発表）Hiroshi Tomioka

新人研修　後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.

Amazon SES を勉強してみるその３2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.

NewSQLの可用性構成パターン（OCHaCafe Season 8 #4 発表資料）NTT DATA Technology & Innovation

Observabilityは従来型の監視と何が違うのか（キンドリルジャパン社内勉強会：2022年10月27日発表）Hiroshi Tomioka

Amazon SES を勉強してみるその２2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.

論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.

論文紹介：Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki

論文紹介：Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki

LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.

Recently uploaded (11)

業務で生成AIを活用したい人のための生成AI入門講座（社外公開版：キンドリルジャパン社内勉強会：2024年4月発表）

新人研修　後半 2024/04/26の勉強会で発表されたものです。

Amazon SES を勉強してみるその３2024/04/26の勉強会で発表されたものです。

NewSQLの可用性構成パターン（OCHaCafe Season 8 #4 発表資料）

Observabilityは従来型の監視と何が違うのか（キンドリルジャパン社内勉強会：2022年10月27日発表）

Amazon SES を勉強してみるその２2024/04/26の勉強会で発表されたものです。

論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games

LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス

論文紹介：Selective Structured State-Spaces for Long-Form Video Understanding

論文紹介：Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...

LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル