SlideShare a Scribd company logo

すぐできるWeb制作時のセキュリティTips

yoshinori matsumoto
yoshinori matsumoto

まにゼミ 知りませんでは通らない! 「制作者なら知っておきたいWebセキュリティの考え方」 2013/01/28 http://m2.cap-ut.co.jp/event/semi08.html

1 of 39
Download to read offline
すぐできるWeb制作時の セキュリティTips Yoshinori Matsumoto 2013/01/28 加筆修正 2013/01/31
目次 • 自己紹介 • Webセキュリティの現状 • よくあるセキュリティ事例と対策 • 古いソフトウェアでの注意点 • 見逃しがちな設定 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
自己紹介 • 名前:松本 悦宜(よしのり) • Twitter : @ym405nm • 会社:神戸デジタル・ラボ • 業務:Webプログラマー、セキュリティエンジニ ア、セキュリティコンサルタント セキュリティ JavaScript HTML5 Android Web 神戸ITフェスティバル 讃岐うどん 小ネタ すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
自己紹介 • セキュリティ診断 事例 : ECサイト 管理者アカウントがのっとられないか 商品在庫・値段が改ざんされないか 顧客情報が漏洩しないか 攻撃の踏み台にされないか 擬似的に攻撃して検証 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
Webセキュリティの現状 Webアプリをつくりはじめるにあたってのセキュリティの現状
これから書き始める人の悩み • そうだ、Webアプリをつくろう! •サーバサイド •DOMツリー •JavaScript •Ajax 理解することがいっぱいある •新要素 •ブラウザ依存 •スマホ対応   など すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
これから書き始める人の悩み • そうだ、Webアプリをつくろう! •セキュリティ?? クロスサイトスクリプティング、SQLインジェクショ ン、クロスサイトリクエストフォージェリ、バッファ・ オーバーフロー、OSコマンドインジェクション、クロ スサイトトレーシング、ブルートフォースアタック セキュリティなんてやってられへん!! すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
これから書き始める人の悩み • 重要なサイトならともかくすべてのセキュリ ティチェックを行うのは大変! • かといって全く対策しないのも・・・ • セキュリティにも優先順位があるはず 重要なセキュリティ問題と Webアプリまわりの注意点をご紹介 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
よくあるセキュリティ 事例と対策 よく話題にあがるセキュリティホール ついつい対策が漏れてしまうことにより、 大きな被害を与えるものを紹介
XSS • XSS (Cross Site Scripting) • 勝手に攻撃者がJavaScriptを実行してしまう 手法 • 攻撃者が作ったコードが他の人のブラウザで も実行される • サイト改ざん、他サイトへの誘導 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
XSS • すごい簡単なサンプル 簡易おみくじ テキストボックスに名前を入れ て、送信ボタンを押すと、 フォームの下に名前とおみくじ結 果が出力される すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
XSS • よくある設定漏れ 簡易おみくじ2 テキストボックスに名前を入れ て、送信ボタンを押すと、 次の画面のテキストボックス内の 初期値に名前が入っている。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
XSS 対策 • 出力される値がタグを作らないように、 HTMLの特殊文字をエスケープする • エスケープする関数を使用する • 自動エスケープされるフレームワークの機能を 使用する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション • 攻撃者がSQL文を改ざんして、勝手に好きな SQL文を追加する • 顧客情報やコンテツ情報がSQLに入っている と大きな被害になる • 情報漏えい、サイト改ざん すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション ログインフォーム SELECT * FROM USERS WHERE ID=”___” and PASS = “___” ID, PASS SQL文 ログイン可否 結果 server DB すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション ログインフォーム 改ざんPASS = “___” SELECT * FROM USERS WHERE ID=”___” and ログインできる 攻撃コード SQL文 ログインOK 結果 server DB すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション • よくある事例 実装例 $query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'; $result = pg_query($conn, $query); 攻撃例 ID : taro'-- コメントアウト SQL として扱われる SELECT * FROM usr WHERE uid = 'taro'--' AND pass ='eefd5bc2...' すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション 対策 • SQLとして扱われる記号をエスケープする • 文字列連結でSQLを使用しない • プレースホルダーを利用して対策する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
SQLインジェクション 対策 $stmt = $db->prepare('SELECT * FROM atable WHERE name=? and num=?', array('text', 'integer'), array('text', 'text', 'integer')); $rs = $stmt->execute(array($name, $num)); // 文字列型と整数型の変数 • PHPとMDB2を使った実装方法 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
CSRF • クロスサイトリクエストフォージェリー Cross Site Request Forgeries • サイトにログインしたユーザが、悪意のある 外部サイトにより、ユーザが予期しない処理 を実行させられてしまう問題 • 「遠隔操作ウィルス」で話題に すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
書き込みの流れと手口  犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。 1:真犯人がCSRF脆弱性のあるサイトを探す CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横浜市の掲 示板はCSRF脆弱性を持っていた(現在は対策済み)。 2:CSRF脆弱性を攻撃するページを作成 真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対象の掲示 板・SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。 3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む 真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事件では、ソ フトウエアのダウンロードリンクとして書き込まれたようだ。 4:被害者がリンクをクリックしてしまう 被害者がリンクをクリックし、攻撃用ページを開いてしまう。 5:対象の掲示板・SNSに勝手にメッセージが書き込まれる (2012年10月26日    読売新聞) 対策とデモは次のセッションで時間があれば
古いソフトウェアでの 注意点 Webアプリはいろいろなソフトウェア、ライブラリから構成されています。 実装はしっかりしているつもりでも これらのソフトウェアやライブラリが原因で セキュリティホールが作られる可能性もあります
JAVA • Java7に任意のコードが実行される可能性が 見つかった(2013年1月) • ウェブを閲覧するだけで任意のコードが実行 し、閲覧者の端末が乗っ取られる可能性 • 大きく報道され、ブラウザでJavaを切った り、アンインストールするユーザが増えた すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
http://jvn.jp/cert/JVNTA13-010A/
Ruby • Ruby on railsに深刻な脆弱性(2013年1月) • 認証システムの迂回、任意のSQL挿入、任意 のコード挿入と実行、Railsアプリケーション に対するサービス妨害(DoS)攻撃などに利 用される可能性。 • Redmineにも影響があり、業務システムにも 影響。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
ソフトウェアの脆弱性 • 原則的に次回バージョンアップで対策 • 発見されたもののなかには、攻撃コードが公 開され、セキュリティツールにより自動化で きる可能性がある • 対策をするためには、利用者がパッチをあて るかバージョンアップをしないといけない すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
PHP すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
jQuery • 多くのサイトでjQueryが使用されている • jQuery, bootstrap... • ちょっと脆弱性が見つかると大変 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
対策 • 脆弱性情報を確認する • 更新情報に隠れている場合もあり • 無理のない範囲で、素早く対応できるように する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
見逃しがちな設定 実装だけでなく、サーバの設定の注意も必要
サーバのログイン情報 パスワード認証 ログイン&パスワード ログイン結果 server • 各サイトVPSの初期設定にするとパスワード 認証になる • パスワードの扱い方、辞書攻撃に注意が必要 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
サーバのログイン情報 危険なパスワード例 俺調べ すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
サーバのログイン情報 対策 鍵生成、公開鍵登録 鍵認証 ログイン結果 server • 公開鍵を登録して鍵認証を行う すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
サーバのログイン情報 サーバ情報の隠蔽 • エラーページやHTTPヘッダーに使用している ソフトウェアの名前とバージョン情報が表示さ れる すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
サーバのログイン情報 サーバ情報の隠蔽 • 意外とphpinfo.php が残ってるサイトも。。。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
サーバのログイン情報 対策 • サーバの情報は出来る限り隠蔽する。特にエ ラーページとHTTPヘッダは注意 • 推測されやすいサイトにも注意する(test.php, phpinfo.php, /admin, /wp-admin など) すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
まとめ
まとめ • Webセキュリティは難しいが、設定1つで修 正できるものもある。 • 多くの攻撃は、簡単な実装ミス・設定ミスか ら来ているものもおおい すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
参考文献 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/ websecurity.html すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info

Recommended

Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Hiroshi Tokumaru
 
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scriptingOWASP Nagoya
 
体系的に学ばないXSSの話
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話Yutaka Maehira
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014Hiroshi Tokumaru
 
XSS再入門
XSS再入門XSS再入門
XSS再入門Hiroshi Tokumaru
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -Isao Takaesu
 

Recommended

Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Hiroshi Tokumaru
 
(A7)cross site scripting
(A7)cross site scripting(A7)cross site scripting
(A7)cross site scriptingOWASP Nagoya
 
体系的に学ばないXSSの話
体系的に学ばないXSSの話体系的に学ばないXSSの話
体系的に学ばないXSSの話Yutaka Maehira
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014Hiroshi Tokumaru
 
XSS再入門
XSS再入門XSS再入門
XSS再入門Hiroshi Tokumaru
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -Isao Takaesu
 
徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいかWebアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいかHiroshi Tokumaru
 
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010Hiroshi Tokumaru
 
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIHTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIYosuke HASEGAWA
 
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~Masato Kinugawa
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻Hidekazu Ishikawa
 
CSP Lv.2の話
CSP Lv.2の話CSP Lv.2の話
CSP Lv.2の話Yu Yagihashi
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門Hiroshi Tokumaru
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方Hiroshi Tokumaru
 
次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)Yosuke HASEGAWA
 
超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法Hidekazu Ishikawa
 
かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしかんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしharuna tanaka
 
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ他人事ではないWebセキュリティ
他人事ではないWebセキュリティYosuke HASEGAWA
 
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)cocoa_dahlia
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectiontobaru_yuta
 
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法機械学習を使ったハッキング手法
機械学習を使ったハッキング手法Isao Takaesu
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016yoshinori matsumoto
 
Rails4 security
Rails4 securityRails4 security
Rails4 securityYasuo Ohgaki
 
OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料ichikaway
 

More Related Content

What's hot

徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまでHiroshi Tokumaru
 
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいかWebアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいかHiroshi Tokumaru
 
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010Hiroshi Tokumaru
 
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIHTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIYosuke HASEGAWA
 
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~Masato Kinugawa
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)Hiroshi Tokumaru
 
WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻Hidekazu Ishikawa
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門Hiroshi Tokumaru
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方Hiroshi Tokumaru
 
次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)Yosuke HASEGAWA
 
超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法Hidekazu Ishikawa
 
かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしかんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしharuna tanaka
 
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ他人事ではないWebセキュリティ
他人事ではないWebセキュリティYosuke HASEGAWA
 
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)cocoa_dahlia
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティHiroshi Tokumaru
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectiontobaru_yuta
 
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法機械学習を使ったハッキング手法
機械学習を使ったハッキング手法Isao Takaesu
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016yoshinori matsumoto
 

What's hot (20)

徳丸本ができるまで
徳丸本ができるまで徳丸本ができるまで
徳丸本ができるまで
 
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいかWebアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
 
今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010今日こそわかる、安全なWebアプリの作り方2010
今日こそわかる、安全なWebアプリの作り方2010
 
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript APIHTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
 
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
X-XSS-Nightmare: 1; mode=attack ~XSSフィルターを利用したXSS攻撃~
 
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
 
WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻WordPress初心者のためのサイト運営虎の巻
WordPress初心者のためのサイト運営虎の巻
 
CSP Lv.2の話
CSP Lv.2の話CSP Lv.2の話
CSP Lv.2の話
 
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
 
いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方いまさら聞けないパスワードの取り扱い方
いまさら聞けないパスワードの取り扱い方
 
次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)
 
超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法超初心者のためのWordPressのサイトのデザインの微調整方法
超初心者のためのWordPressのサイトのデザインの微調整方法
 
かんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなしかんたん!わかりやすいWafのおはなし
かんたん!わかりやすいWafのおはなし
 
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
 
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
 
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
 
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injectionowasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
 
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
 
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
WordPressセキュリティの 心配事を吹き飛ばせ! WordCamp Kansai 2016
 

Viewers also liked

OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料ichikaway
 
継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2ichikaway
 
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)Kenji Urushima
 
How to test code with mruby
How to test code with mrubyHow to test code with mruby
How to test code with mrubyHiroshi SHIBATA
 
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!ichikaway
 
introduction to jsrsasign
introduction to jsrsasignintroduction to jsrsasign
introduction to jsrsasignKenji Urushima
 
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料ichikaway
 
ビットコインと社会 ─ ビットコインだけでは何も変わらない
ビットコインと社会 ─ ビットコインだけでは何も変わらないビットコインと社会 ─ ビットコインだけでは何も変わらない
ビットコインと社会 ─ ビットコインだけでは何も変わらないKenji Saito
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorbRuby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorbKoichiro Sumi
 
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待OpenWhisk Serverless への期待
OpenWhisk Serverless への期待Hideaki Tokida
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みHiroshi Tokumaru
 
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLSqpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLSKenji Urushima
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Kengo Suzuki
 
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論Kenji Urushima
 
ブロックチェーン連続講義 第4回 暗号技術のリテラシー
ブロックチェーン連続講義 第4回 暗号技術のリテラシーブロックチェーン連続講義 第4回 暗号技術のリテラシー
ブロックチェーン連続講義 第4回 暗号技術のリテラシーKenji Saito
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみたzaki4649
 
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜Kenji Saito
 
ブロックチェーン連続講義 第7回 スマートコントラクト
ブロックチェーン連続講義 第7回 スマートコントラクトブロックチェーン連続講義 第7回 スマートコントラクト
ブロックチェーン連続講義 第7回 スマートコントラクトKenji Saito
 

Viewers also liked (20)

Rails4 security
Rails4 securityRails4 security
Rails4 security
 
OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料OS入門 Fukuoka.php vol.18 LT資料
OS入門 Fukuoka.php vol.18 LT資料
 
継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2継続的Webセキュリティテスト testing casual talks2
継続的Webセキュリティテスト testing casual talks2
 
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
 
How to test code with mruby
How to test code with mrubyHow to test code with mruby
How to test code with mruby
 
脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!脆弱性もバグ、だからテストしよう!
脆弱性もバグ、だからテストしよう!
 
introduction to jsrsasign
introduction to jsrsasignintroduction to jsrsasign
introduction to jsrsasign
 
継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料継続的セキュリティテストVaddy説明資料
継続的セキュリティテストVaddy説明資料
 
ビットコインと社会 ─ ビットコインだけでは何も変わらない
ビットコインと社会 ─ ビットコインだけでは何も変わらないビットコインと社会 ─ ビットコインだけでは何も変わらない
ビットコインと社会 ─ ビットコインだけでは何も変わらない
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorbRuby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
 
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
 
セキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試みセキュアコーディング方法論再構築の試み
セキュアコーディング方法論再構築の試み
 
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLSqpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
 
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
 
ブロックチェーン連続講義 第4回 暗号技術のリテラシー
ブロックチェーン連続講義 第4回 暗号技術のリテラシーブロックチェーン連続講義 第4回 暗号技術のリテラシー
ブロックチェーン連続講義 第4回 暗号技術のリテラシー
 
最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた最近のBurp Suiteについて調べてみた
最近のBurp Suiteについて調べてみた
 
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜
FinTech と分散システム 〜またの名を仮面ライダーフィンテック〜
 
ブロックチェーン連続講義 第7回 スマートコントラクト
ブロックチェーン連続講義 第7回 スマートコントラクトブロックチェーン連続講義 第7回 スマートコントラクト
ブロックチェーン連続講義 第7回 スマートコントラクト
 

Similar to すぐできるWeb制作時のセキュリティTips

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎Takahisa Kishiya
 
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会yoshinori matsumoto
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティーhakoika-itwg
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンYuichi Hattori
 
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方Yuichi Hattori
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたcluclu_land
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdfweb技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdfKoudaiKumazaki
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampMasahiro NAKAYAMA
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MITSUNARI Shigeo
 
データベースセキュリティ
データベースセキュリティデータベースセキュリティ
データベースセキュリティYasuo Ohgaki
 
御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法Netforest Inc.
 
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜SORACOM,INC
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識Hiroshi Tokumaru
 
Octopress簡単スタートガイド
Octopress簡単スタートガイドOctopress簡単スタートガイド
Octopress簡単スタートガイドYukimitsu Izawa
 
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)Webセキュリティ入門(xss)
Webセキュリティ入門(xss)KageShiron
 
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範CODE BLUE
 

Similar to すぐできるWeb制作時のセキュリティTips (20)

ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
 
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会
 
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
 
Webアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオンWebアプリケーション脆弱性体験ハンズオン
Webアプリケーション脆弱性体験ハンズオン
 
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
 
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5Microsoft 365 Day Session 5
Microsoft 365 Day Session 5
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
 
Amazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみたAmazon Inspector v2で脆弱性管理を始めてみた
Amazon Inspector v2で脆弱性管理を始めてみた
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
AWS小ネタ集
AWS小ネタ集AWS小ネタ集
AWS小ネタ集
 
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdfweb技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
 
クラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccampクラウドセキュリティ基礎 #seccamp
クラウドセキュリティ基礎 #seccamp
 
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
MS Officeファイル暗号化のマスター鍵を利用したバックドアとその対策
 
データベースセキュリティ
データベースセキュリティデータベースセキュリティ
データベースセキュリティ
 
御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法御社WEBサイトの訪問者に安全・安心を提供する方法
御社WEBサイトの訪問者に安全・安心を提供する方法
 
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜
Developer Festa Sapporo 2016 | 誰もがIoTエンジニアになれる 〜IoT 通信プラットフォーム SORACOM〜
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
 
Octopress簡単スタートガイド
Octopress簡単スタートガイドOctopress簡単スタートガイド
Octopress簡単スタートガイド
 
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
 
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
MSOfficeファイル暗号化のマスター鍵を利用したバックドアとその対策 by 光成滋生&竹迫良範
 

More from yoshinori matsumoto

はじめてのマーケットプレイス
はじめてのマーケットプレイスはじめてのマーケットプレイス
はじめてのマーケットプレイスyoshinori matsumoto
 
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!yoshinori matsumoto
 
攻撃者からみたWordPressセキュリティ
攻撃者からみたWordPressセキュリティ攻撃者からみたWordPressセキュリティ
攻撃者からみたWordPressセキュリティyoshinori matsumoto
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!yoshinori matsumoto
 
Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編yoshinori matsumoto
 
第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チームyoshinori matsumoto
 
この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情yoshinori matsumoto
 
イベント管理サイト応用するよ
イベント管理サイト応用するよイベント管理サイト応用するよ
イベント管理サイト応用するよyoshinori matsumoto
 
OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -yoshinori matsumoto
 
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04yoshinori matsumoto
 
SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表yoshinori matsumoto
 
春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会yoshinori matsumoto
 

More from yoshinori matsumoto (16)

はじめてのマーケットプレイス
はじめてのマーケットプレイスはじめてのマーケットプレイス
はじめてのマーケットプレイス
 
防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!防御から謝罪まで・・・WordPressにヤマを張るっ!
防御から謝罪まで・・・WordPressにヤマを張るっ!
 
攻撃者からみたWordPressセキュリティ
攻撃者からみたWordPressセキュリティ攻撃者からみたWordPressセキュリティ
攻撃者からみたWordPressセキュリティ
 
Word press セキュリティ show!!
Word press セキュリティ show!!Word press セキュリティ show!!
Word press セキュリティ show!!
 
Happy status Coding
Happy status CodingHappy status Coding
Happy status Coding
 
社内合宿成果発表
社内合宿成果発表社内合宿成果発表
社内合宿成果発表
 
Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編Android解析勉強会 #2 広告収入モジュール編
Android解析勉強会 #2 広告収入モジュール編
 
第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム第1回Androidアプリ解析勉強会XXX解析チーム
第1回Androidアプリ解析勉強会XXX解析チーム
 
この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情この秋何かつくる人のためのセキュリティ事情
この秋何かつくる人のためのセキュリティ事情
 
イベント管理サイト応用するよ
イベント管理サイト応用するよイベント管理サイト応用するよ
イベント管理サイト応用するよ
 
OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -OSSで地域貢献 - 加古川起源説 -
OSSで地域貢献 - 加古川起源説 -
 
セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04セキュリティビジュアライゼーション - LT Spiral #04
セキュリティビジュアライゼーション - LT Spiral #04
 
ペアプロしてきた
ペアプロしてきたペアプロしてきた
ペアプロしてきた
 
SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表SECCON つくば ハッカソン発表
SECCON つくば ハッカソン発表
 
社内勉強会 20120518
社内勉強会 20120518社内勉強会 20120518
社内勉強会 20120518
 
春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会春のチキチキjQuery祭り - 姫路IT系勉強会
春のチキチキjQuery祭り - 姫路IT系勉強会
 

すぐできるWeb制作時のセキュリティTips

  • 1. すぐできるWeb制作時の セキュリティTips Yoshinori Matsumoto 2013/01/28 加筆修正 2013/01/31
  • 2. 目次 • 自己紹介 • Webセキュリティの現状 • よくあるセキュリティ事例と対策 • 古いソフトウェアでの注意点 • 見逃しがちな設定 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 3. 自己紹介 • 名前:松本 悦宜(よしのり) • Twitter : @ym405nm • 会社:神戸デジタル・ラボ • 業務:Webプログラマー、セキュリティエンジニ ア、セキュリティコンサルタント セキュリティ JavaScript HTML5 Android Web 神戸ITフェスティバル 讃岐うどん 小ネタ すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 4. 自己紹介 • セキュリティ診断 事例 : ECサイト 管理者アカウントがのっとられないか 商品在庫・値段が改ざんされないか 顧客情報が漏洩しないか 攻撃の踏み台にされないか 擬似的に攻撃して検証 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 6. これから書き始める人の悩み • そうだ、Webアプリをつくろう! •サーバサイド •DOMツリー •JavaScript •Ajax 理解することがいっぱいある •新要素 •ブラウザ依存 •スマホ対応   など すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 7. これから書き始める人の悩み • そうだ、Webアプリをつくろう! •セキュリティ?? クロスサイトスクリプティング、SQLインジェクショ ン、クロスサイトリクエストフォージェリ、バッファ・ オーバーフロー、OSコマンドインジェクション、クロ スサイトトレーシング、ブルートフォースアタック セキュリティなんてやってられへん!! すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 8. これから書き始める人の悩み • 重要なサイトならともかくすべてのセキュリ ティチェックを行うのは大変! • かといって全く対策しないのも・・・ • セキュリティにも優先順位があるはず 重要なセキュリティ問題と Webアプリまわりの注意点をご紹介 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 9. よくあるセキュリティ 事例と対策 よく話題にあがるセキュリティホール ついつい対策が漏れてしまうことにより、 大きな被害を与えるものを紹介
  • 10. XSS • XSS (Cross Site Scripting) • 勝手に攻撃者がJavaScriptを実行してしまう 手法 • 攻撃者が作ったコードが他の人のブラウザで も実行される • サイト改ざん、他サイトへの誘導 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 11. XSS • すごい簡単なサンプル 簡易おみくじ テキストボックスに名前を入れ て、送信ボタンを押すと、 フォームの下に名前とおみくじ結 果が出力される すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 12. XSS • よくある設定漏れ 簡易おみくじ2 テキストボックスに名前を入れ て、送信ボタンを押すと、 次の画面のテキストボックス内の 初期値に名前が入っている。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 13. XSS 対策 • 出力される値がタグを作らないように、 HTMLの特殊文字をエスケープする • エスケープする関数を使用する • 自動エスケープされるフレームワークの機能を 使用する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 14. SQLインジェクション • 攻撃者がSQL文を改ざんして、勝手に好きな SQL文を追加する • 顧客情報やコンテツ情報がSQLに入っている と大きな被害になる • 情報漏えい、サイト改ざん すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 15. SQLインジェクション ログインフォーム SELECT * FROM USERS WHERE ID=”___” and PASS = “___” ID, PASS SQL文 ログイン可否 結果 server DB すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 16. SQLインジェクション ログインフォーム 改ざんPASS = “___” SELECT * FROM USERS WHERE ID=”___” and ログインできる 攻撃コード SQL文 ログインOK 結果 server DB すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 17. SQLインジェクション • よくある事例 実装例 $query = "SELECT * FROM usr WHERE uid = '$uid' AND pass = '$passh'; $result = pg_query($conn, $query); 攻撃例 ID : taro'-- コメントアウト SQL として扱われる SELECT * FROM usr WHERE uid = 'taro'--' AND pass ='eefd5bc2...' すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 18. SQLインジェクション 対策 • SQLとして扱われる記号をエスケープする • 文字列連結でSQLを使用しない • プレースホルダーを利用して対策する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 19. SQLインジェクション 対策 $stmt = $db->prepare('SELECT * FROM atable WHERE name=? and num=?', array('text', 'integer'), array('text', 'text', 'integer')); $rs = $stmt->execute(array($name, $num)); // 文字列型と整数型の変数 • PHPとMDB2を使った実装方法 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 20. CSRF • クロスサイトリクエストフォージェリー Cross Site Request Forgeries • サイトにログインしたユーザが、悪意のある 外部サイトにより、ユーザが予期しない処理 を実行させられてしまう問題 • 「遠隔操作ウィルス」で話題に すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 21. 書き込みの流れと手口  犯行声明メールや事件の経緯から見る流れは、以下のように想像できる。 1:真犯人がCSRF脆弱性のあるサイトを探す CSRF脆弱性によって、外部から書き込みできる掲示板・SNSなどを探す。問題となった横浜市の掲 示板はCSRF脆弱性を持っていた(現在は対策済み)。 2:CSRF脆弱性を攻撃するページを作成 真犯人が攻撃用のページを、独自サイトなどに作成。このページを開くと、自動的に対象の掲示 板・SNSなどに決められたメッセージ(今回の場合は殺人予告)を書き込む。 3:攻撃用ページへのリンクを2ちゃんねるなどに書き込む 真犯人が攻撃用ページへのリンクを、2ちゃんねるなどの掲示板に書きこむ。今回の事件では、ソ フトウエアのダウンロードリンクとして書き込まれたようだ。 4:被害者がリンクをクリックしてしまう 被害者がリンクをクリックし、攻撃用ページを開いてしまう。 5:対象の掲示板・SNSに勝手にメッセージが書き込まれる (2012年10月26日    読売新聞) 対策とデモは次のセッションで時間があれば
  • 22. 古いソフトウェアでの 注意点 Webアプリはいろいろなソフトウェア、ライブラリから構成されています。 実装はしっかりしているつもりでも これらのソフトウェアやライブラリが原因で セキュリティホールが作られる可能性もあります
  • 23. JAVA • Java7に任意のコードが実行される可能性が 見つかった(2013年1月) • ウェブを閲覧するだけで任意のコードが実行 し、閲覧者の端末が乗っ取られる可能性 • 大きく報道され、ブラウザでJavaを切った り、アンインストールするユーザが増えた すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 25. Ruby • Ruby on railsに深刻な脆弱性(2013年1月) • 認証システムの迂回、任意のSQL挿入、任意 のコード挿入と実行、Railsアプリケーション に対するサービス妨害(DoS)攻撃などに利 用される可能性。 • Redmineにも影響があり、業務システムにも 影響。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 26. ソフトウェアの脆弱性 • 原則的に次回バージョンアップで対策 • 発見されたもののなかには、攻撃コードが公 開され、セキュリティツールにより自動化で きる可能性がある • 対策をするためには、利用者がパッチをあて るかバージョンアップをしないといけない すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 28. jQuery • 多くのサイトでjQueryが使用されている • jQuery, bootstrap... • ちょっと脆弱性が見つかると大変 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 29. 対策 • 脆弱性情報を確認する • 更新情報に隠れている場合もあり • 無理のない範囲で、素早く対応できるように する すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 31. サーバのログイン情報 パスワード認証 ログイン&パスワード ログイン結果 server • 各サイトVPSの初期設定にするとパスワード 認証になる • パスワードの扱い方、辞書攻撃に注意が必要 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 32. サーバのログイン情報 危険なパスワード例 俺調べ すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 33. サーバのログイン情報 対策 鍵生成、公開鍵登録 鍵認証 ログイン結果 server • 公開鍵を登録して鍵認証を行う すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 34. サーバのログイン情報 サーバ情報の隠蔽 • エラーページやHTTPヘッダーに使用している ソフトウェアの名前とバージョン情報が表示さ れる すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 35. サーバのログイン情報 サーバ情報の隠蔽 • 意外とphpinfo.php が残ってるサイトも。。。 すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 36. サーバのログイン情報 対策 • サーバの情報は出来る限り隠蔽する。特にエ ラーページとHTTPヘッダは注意 • 推測されやすいサイトにも注意する(test.php, phpinfo.php, /admin, /wp-admin など) すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 38. まとめ • Webセキュリティは難しいが、設定1つで修 正できるものもある。 • 多くの攻撃は、簡単な実装ミス・設定ミスか ら来ているものもおおい すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info
  • 39. 参考文献 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/ websecurity.html すぐできるWeb制作時のセキュリティTips 2013/01/28 @ym405nm http://ym405nm.info