Submit Search
Upload
MBSD Cybersecurity Challenges 2017 本選プレゼン
•
Download as PPTX, PDF
•
1 like
•
1,163 views
R
Ryohei Kawashima
Follow
MBSD Cybersecurity Challenges 2017 本選プレゼン
Read less
Read more
Technology
Report
Share
Report
Share
1 of 30
Download now
Recommended
Ember コミュニティとわたし
Ember コミュニティとわたし
Ryunosuke SATO
Swiftからlibuvを呼び出すTIPS
Swiftからlibuvを呼び出すTIPS
jugemjugemjugem
20131012 nodejs
20131012 nodejs
Amuro Nishizawa
20170823 rmiを使ってみた
20170823 rmiを使ってみた
Daniel Sun
mrubyのすすめ
mrubyのすすめ
masayoshi takahashi
Sails.jsのメリット・デメリット
Sails.jsのメリット・デメリット
Ito Kohta
Node.jsでブラウザメッセンジャー
Node.jsでブラウザメッセンジャー
Yahoo!デベロッパーネットワーク
Chefについて数週間勉強してみた
Chefについて数週間勉強してみた
Akira Kaneda
Recommended
Ember コミュニティとわたし
Ember コミュニティとわたし
Ryunosuke SATO
Swiftからlibuvを呼び出すTIPS
Swiftからlibuvを呼び出すTIPS
jugemjugemjugem
20131012 nodejs
20131012 nodejs
Amuro Nishizawa
20170823 rmiを使ってみた
20170823 rmiを使ってみた
Daniel Sun
mrubyのすすめ
mrubyのすすめ
masayoshi takahashi
Sails.jsのメリット・デメリット
Sails.jsのメリット・デメリット
Ito Kohta
Node.jsでブラウザメッセンジャー
Node.jsでブラウザメッセンジャー
Yahoo!デベロッパーネットワーク
Chefについて数週間勉強してみた
Chefについて数週間勉強してみた
Akira Kaneda
Nodeについて
Nodeについて
Natsuki Yamanaka
擬似乱数生成器の評価
擬似乱数生成器の評価
Taku Miyakawa
MVCフレームワーク Sails.jsについて機能紹介
MVCフレームワーク Sails.jsについて機能紹介
kamiyam .
Node.js を選ぶとき 選ばないとき
Node.js を選ぶとき 選ばないとき
Ryunosuke SATO
Node.js入門
Node.js入門
俊夫 森
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
Kohei Asai
リテラルと型の続きの話 #__swift__
リテラルと型の続きの話 #__swift__
Tomohiro Kumagai
Playで作るwebsocketサーバ
Playで作るwebsocketサーバ
ke-m kamekoopa
最近のフロントエンドツールの紹介
最近のフロントエンドツールの紹介
Ryo Iinuma
20091119_sinatraを使ってみた
20091119_sinatraを使ってみた
ngi group.
Swiftのswitchはとってもパワフル!
Swiftのswitchはとってもパワフル!
akatsuki174
RVM with Server Environment
RVM with Server Environment
Yukimitsu Izawa
VagrantでAzureを使ってみた話
VagrantでAzureを使ってみた話
Yuta Matsumura
Symfony2 caching
Symfony2 caching
Hidenori Goto
Node.js基礎の基礎 - Miyazaki.js vol.2
Node.js基礎の基礎 - Miyazaki.js vol.2
Nobuhiro Nakashima
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
Ryunosuke SATO
What webpage calls.
What webpage calls.
Naoaki Onozaki
はじめる Ember.js!! ~ Getting started with ember.js ~
はじめる Ember.js!! ~ Getting started with ember.js ~
Ryunosuke SATO
コンパイラ指向ReVIEW
コンパイラ指向ReVIEW
Masahiro Wakame
Node.js×mongo dbで3年間サービス運用してみた話
Node.js×mongo dbで3年間サービス運用してみた話
leverages_event
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
More Related Content
What's hot
Nodeについて
Nodeについて
Natsuki Yamanaka
擬似乱数生成器の評価
擬似乱数生成器の評価
Taku Miyakawa
MVCフレームワーク Sails.jsについて機能紹介
MVCフレームワーク Sails.jsについて機能紹介
kamiyam .
Node.js を選ぶとき 選ばないとき
Node.js を選ぶとき 選ばないとき
Ryunosuke SATO
Node.js入門
Node.js入門
俊夫 森
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
Kohei Asai
リテラルと型の続きの話 #__swift__
リテラルと型の続きの話 #__swift__
Tomohiro Kumagai
Playで作るwebsocketサーバ
Playで作るwebsocketサーバ
ke-m kamekoopa
最近のフロントエンドツールの紹介
最近のフロントエンドツールの紹介
Ryo Iinuma
20091119_sinatraを使ってみた
20091119_sinatraを使ってみた
ngi group.
Swiftのswitchはとってもパワフル!
Swiftのswitchはとってもパワフル!
akatsuki174
RVM with Server Environment
RVM with Server Environment
Yukimitsu Izawa
VagrantでAzureを使ってみた話
VagrantでAzureを使ってみた話
Yuta Matsumura
Symfony2 caching
Symfony2 caching
Hidenori Goto
Node.js基礎の基礎 - Miyazaki.js vol.2
Node.js基礎の基礎 - Miyazaki.js vol.2
Nobuhiro Nakashima
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
Ryunosuke SATO
What webpage calls.
What webpage calls.
Naoaki Onozaki
はじめる Ember.js!! ~ Getting started with ember.js ~
はじめる Ember.js!! ~ Getting started with ember.js ~
Ryunosuke SATO
コンパイラ指向ReVIEW
コンパイラ指向ReVIEW
Masahiro Wakame
Node.js×mongo dbで3年間サービス運用してみた話
Node.js×mongo dbで3年間サービス運用してみた話
leverages_event
What's hot
(20)
Nodeについて
Nodeについて
擬似乱数生成器の評価
擬似乱数生成器の評価
MVCフレームワーク Sails.jsについて機能紹介
MVCフレームワーク Sails.jsについて機能紹介
Node.js を選ぶとき 選ばないとき
Node.js を選ぶとき 選ばないとき
Node.js入門
Node.js入門
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
Nodeとフロントエンド − 知っておかなければならない、今と未来の話 −
リテラルと型の続きの話 #__swift__
リテラルと型の続きの話 #__swift__
Playで作るwebsocketサーバ
Playで作るwebsocketサーバ
最近のフロントエンドツールの紹介
最近のフロントエンドツールの紹介
20091119_sinatraを使ってみた
20091119_sinatraを使ってみた
Swiftのswitchはとってもパワフル!
Swiftのswitchはとってもパワフル!
RVM with Server Environment
RVM with Server Environment
VagrantでAzureを使ってみた話
VagrantでAzureを使ってみた話
Symfony2 caching
Symfony2 caching
Node.js基礎の基礎 - Miyazaki.js vol.2
Node.js基礎の基礎 - Miyazaki.js vol.2
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
もっとはじめる Ember.js !! ~ Getting started with Ember.js more ~
What webpage calls.
What webpage calls.
はじめる Ember.js!! ~ Getting started with ember.js ~
はじめる Ember.js!! ~ Getting started with ember.js ~
コンパイラ指向ReVIEW
コンパイラ指向ReVIEW
Node.js×mongo dbで3年間サービス運用してみた話
Node.js×mongo dbで3年間サービス運用してみた話
Recently uploaded
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
Recently uploaded
(11)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
MBSD Cybersecurity Challenges 2017 本選プレゼン
1.
Hack MBSDセキュアマン’s 2.0.1
2.
自己紹介 ◈ 船橋の学校から来ました ◈ 普段はNWの勉強をしています ◈
個人的に Ruby が好きです
3.
― 目次 ― ◈
脆弱性ってなんだろう? ◈ APIサーバってなんだろう? ◈ MBSD BANK で見つけた脆弱性 ◈ 実演 ◈ まとめ
4.
脆弱性ってなんだろう?
5.
機密性,完全性,可用性 いずれかが脅かされること
6.
◈ SQLインジェクションやXSS → 機密性と完全性を脅かす ◈
DoS攻撃 → 可用性を脅かす
7.
今回のサーバは19分で必ず落ちる
8.
今回のサーバは19分で必ず落ちる 可用性が侵されている
9.
この3つの観点から脆弱性を探した
10.
APIサーバってなんだろう?
11.
APIサーバってなんだろう? ◈ HTTPリクエストに対してリソースを返す
12.
APIサーバってなんだろう? ◈ HTTPリクエストに対してリソースを返す ◈ モバイルアプリのバックエンドとして使われる
13.
APIサーバってなんだろう? ◈ HTTPリクエストに対してリソースを返す ◈ モバイルアプリのバックエンドとして使われる ◈
webサイトの脆弱性とほとんど変わらない
14.
MBSD BANK で見つけた脆弱性
15.
MBSD BANKで見つかった脆弱性 ◈ webアプリケーションの脆弱性
16.
MBSD BANKで見つかった脆弱性 ◈ webアプリケーションの脆弱性 ◈
設計上の脆弱性
17.
MBSD BANKで見つかった脆弱性 ◈ webアプリケーションの脆弱性 ◈
設計上の脆弱性 ◈ インフラの脆弱性
18.
webアプリの脆弱性
19.
webアプリケーションの脆弱性 ◈ SQLインジェクション ◈ 格納型XSS ◈
ファイルインクルード攻撃
20.
設計上の脆弱性
21.
設計上の脆弱性 ◈ SESSIONID一覧が閲覧可能 ◈ phpinfo();
が閲覧可能 ◈ 初期パスワードが数字小文字8文字固定 ◈ パスワードに試行回数制限が無い ◈ IP制限が機能していない
22.
MBSD BANK の設計
23.
インフラの脆弱性
24.
インフラの脆弱性 ◈ HSTSが有効化されていない ◈ サーバが19分で応答しなくなる ◈
shutdownユーザのパスワードがshutdown ◈ 自動ディレクトリ一覧表示機能が有効になっている
25.
実証
26.
SQLインジェクションで XSSを起こす!!
27.
僕達は root になりたかった
28.
まと め
29.
まとめ ◈ APIサーバでもwebの脆弱性は存在する ◈ チェックをサボると経済的打撃と共に信頼を失う ◈
MBSD BANK がリリースされたら大変 ◈ リリース前にセキュリティは入念なチェックが必要 (お金が掛かっても MBSDさん にお願いした方が良い)
30.
Thank you for
listening.
Download now