Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webアプリケーション脆弱性診断について

271 views

Published on

UCHINA IT Free者達’s 第2回ライトニングトーク大会

Published in: Internet
  • Be the first to comment

  • Be the first to like this

Webアプリケーション脆弱性診断について

  1. 1. Webアプリケーション 脆弱性診断について UCHINA IT Free者達's (第2回ライトニングトーク大会)
  2. 2. 名前 桃原 裕太 / とうばる ゆうた 所属 株式会社 シーエー・アドバンス 技術統括本部 経歴 前職  ・ECサイト等の開発 株式会社 シーエー・アドバンス  ・社内ツールの開発  ・脆弱性診断の業務に携わって約4年 業務 Webアプリケーション脆弱性診断  ・PCブラウザ向けアプリ  ・SPブラウザ向けアプリ  ・Androidアプリ  ・iOSアプリ 自己紹介
  3. 3. 本日のテーマについて 「Webアプリケーション脆弱性診断」 についてご紹介したいと思います。 あまり耳慣れない言葉だと思いますが、 少しでも興味を持っていただければと思います。
  4. 4. 脆弱性診断とは Webサイトに脆弱性がないか、擬似攻撃を行って調査しています。 サービスを健全な状態に保つことで外部からの攻撃を防ぎます。 有名な脆弱性 ❏ XSS ❏ SQLインジェクション ❏ OSコマンドインジェクション
  5. 5. 実際の診断と報告書作成の例 例)商品購入(正常なパターン) itemId name price 1 アイテム1 100円 2 アイテム2 200円 購入(itemId=1,price=100) アイテム1入手
  6. 6. 実際の診断と報告書作成の例 例)商品購入(不正なパターン) itemId name price 1 アイテム1 100円 2 アイテム2 200円 購入(itemId=1,price= 50) アイテム1入手
  7. 7. 実際の診断と報告書作成の例 調査した結果、脆弱性だと判断した場合は開発者へ報告します。 タイトル 商品を任意の価格で購入することが可能 危険度 High 説明 パラメータpriceを操作することで、 任意の価格で商品を購入することが可能。 影響 売上の減少など
  8. 8. 脆弱性診断で使うツールについて 診断効率をあげるためのツールもあります。 有名なものを3つピックアップ。 ❏ Burp Suite ❏ OWASP ZAP ❏ Fiddler
  9. 9. まとめ ❏ セキュリティ大事 ❏ 売上にも影響するかも…? ❏ サービスのブランドイメージの低下にもつながるかも…? ❏ 脆弱性診断、ぜひやってみましょう! ❏ 無料で使えるツールもあるので気軽に試せます! が、必ず許可を取ったサイトで実施するようにして下さい! (不正アクセスで訴えられる可能性があります) ※何かご質問等があればお気軽にどうぞ!
  10. 10. ご清聴ありがとうございました

×