Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
はじめまして,Webセキュリティ! / Welcome to the Web security...
Search
hsm_hx
April 20, 2019
Programming
1
180
はじめまして,Webセキュリティ! / Welcome to the Web security world!
2019/04/20 ITエンジニアぴよぴよ会@やまぐち にて登壇したスライドです。
hsm_hx
April 20, 2019
Tweet
Share
More Decks by hsm_hx
See All by hsm_hx
エンジニアにありがちな自己満足UI(笑) / How to make iikanji UI design?
hsm_hx
0
450
エンジニアの必需品 Gitを学ぼう! / Lets use Git for engineering!
hsm_hx
0
220
2019年度部活動説明会 / CombIntro2019
hsm_hx
0
170
進捗を支える文房具 / stationary which support progress
hsm_hx
3
450
世界征服が夢の高専生が部活を征服する話 / I wanna dominate this world
hsm_hx
1
1.5k
技術同人誌を書いてみた話 / Let's write your tech-book
hsm_hx
0
810
1on1自己紹介/1on1-self-introduction
hsm_hx
0
2.4k
2018-09-22 逆求人フェスティバル / Reversed job-offer-festival
hsm_hx
0
4.2k
めかぶと納豆でしゅうまいを作った話 / Make Shumai from MeCab and Natto
hsm_hx
0
660
Other Decks in Programming
See All in Programming
Kotlin Multiplatform Meetup - Compose Multiplatform 외부 의존성 아키텍처 설계부터 운영까지
wisemuji
0
110
gunshi
kazupon
1
110
Graviton と Nitro と私
maroon1st
0
130
Rubyで鍛える仕組み化プロヂュース力
muryoimpl
0
160
Combinatorial Interview Problems with Backtracking Solutions - From Imperative Procedural Programming to Declarative Functional Programming - Part 2
philipschwarz
PRO
0
110
안드로이드 9년차 개발자, 프론트엔드 주니어로 커리어 리셋하기
maryang
1
130
Full-Cycle Reactivity in Angular: SignalStore mit Signal Forms und Resources
manfredsteyer
PRO
0
170
Pythonではじめるオープンデータ分析〜書籍の紹介と書籍で紹介しきれなかった事例の紹介〜
welliving
2
530
tparseでgo testの出力を見やすくする
utgwkk
2
270
0→1 フロントエンド開発 Tips🚀 #レバテックMeetup
bengo4com
0
320
從冷知識到漏洞,你不懂的 Web,駭客懂 - Huli @ WebConf Taiwan 2025
aszx87410
2
2.9k
TerraformとStrands AgentsでAmazon Bedrock AgentCoreのSSO認証付きエージェントを量産しよう!
neruneruo
4
1.6k
Featured
See All Featured
Being A Developer After 40
akosma
91
590k
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
110
sira's awesome portfolio website redesign presentation
elsirapls
0
89
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.4k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
0
300
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
580
A Soul's Torment
seathinner
1
2k
Paper Plane (Part 1)
katiecoart
PRO
0
1.9k
Building Flexible Design Systems
yeseniaperezcruz
330
39k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
99
Transcript
PIYOPIYO@YAMAGUCHI Welcome to the Web security world! はじめまして, Webセキュリティ! うべこうせん
はすみ(@hsm_hx)
今日お話すること セキュリティって何? どうやって攻撃するの? どうやって守るの?
セキュリティって何? WHAT IS CYBER SECURITY?
セキュリティとは? セキュリティ(英: security)は、人、住居、地域社会、国家、 組織、資産などを対象とした、害からの保護。 一般には保安の ことであり、犯罪や事故などを防止するための警備全般を指す。 出典 : セキュリティ -
Wikipedia
セキュリティとは? 要するに,(情報技術を扱う上では) サイバー犯罪に遭わないための対策
サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った攻撃
サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取り フリーソフトにウイルスを仕込む ゲームを改造する(チート) Webサイトの情報を抜き取る
サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取り フリーソフトにウイルスを仕込む ゲームを改造する(チート) Webサイトの情報を抜き取る Webセキュリティの領域
どうやって攻撃するの? HOW TO EXPLOIT WEB APPLICATION?
どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース
どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース
どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース
どうやって攻撃するの? サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し, 無理やり遠隔でサーバーの管理権限を乗っ取る
どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース
どうやって攻撃するの? Webアプリケーションの脆弱性を利用 クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクション ディレクトリトラバーサル
どうやって攻撃するの? 投稿フォームやHTTPリクエストに細工することで 任意のコマンドやプログラムを実行できてしまう →実質的なサーバーの管理権限の奪取
どうやって守るの? CAN I PROTECT MY APPLICATION FROM INSIDENTS ?
どうやって守るの? サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し, 無理やり遠隔でサーバーの管理権限を乗っ取る
どうやって守るの? サーバーへのリモートアクセス ssh mysql -h リモートアクセスできない設定にする 認証方式を変える(パスワードだと総当たりされやすい!)
どうやって守るの? Webアプリケーションの脆弱性を利用 クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクション ディレクトリトラバーサル
どうやって守るの? Webアプリケーションの脆弱性を利用 脆弱性を塞ぐ(!!!)
どうやって守るの? Webアプリケーションの脆弱性を利用 脆弱性を塞ぐ(!!!) <script>の"<"をエスケープする(文字として扱う) 適切なライブラリや言語機能を使う 使うツール群を最新のものに保つ
どうやって守るの? どのような場合でも,Webサーバのログは監視する ↑ 実際に攻撃を受けているログ
どうやって守るの? 一番大事なのは 攻撃手段を知ること
どうやって守るの? 一番大事なのは 攻撃手段を知ること Capture the Flag(CTF)の大会 SECCON for Beginners セキュリティ・ミニキャンプ
安全で楽しい開発ライフを Good Noods Cafe • 2020
宣伝 Good Noods Cafe • 2020 ITエンジニアぴよぴよ会@やまぐち その2 いつ:5月25日(土) 13:00~
どこ:宇部新川駅から徒歩5分 うべスタートアップ なに:みんなで集まって情報交換をしながら作業 (もくもく会) だれ:山口県やその周辺に住む人 初心者メイン ただ作業するだけでも他の人の作業風景を見ることで 普段とは違う経験が得られたりもします ぜひ来てください ぴよぴよ会 やまぐち
hsm_hx
wisemuji
kazupon
maroon1st
muryoimpl
philipschwarz
maryang
manfredsteyer
welliving
utgwkk
bengo4com
aszx87410
neruneruo
akosma
dugsong
elsirapls
tammyeverts
tomoyanonymous
addyosmani
chriscoyier
nmsamuel
seathinner
katiecoart
yeseniaperezcruz
inesmontani
