はじめまして，Webセキュリティ！ / Welcome to the Web security world!

PIYOPIYO@YAMAGUCHI Welcome to the Web security world! はじめまして， Webセキュリティ！うべこうせん
はすみ(@hsm_hx)

今日お話することセキュリティって何？どうやって攻撃するの？どうやって守るの？

セキュリティって何？ WHAT IS CYBER SECURITY?

セキュリティとは？セキュリティ（英: security）は、人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護。一般には保安のことであり、犯罪や事故などを防止するための警備全般を指す。出典 : セキュリティ -
Wikipedia

セキュリティとは？要するに，(情報技術を扱う上では) サイバー犯罪に遭わないための対策

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った攻撃

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取りフリーソフトにウイルスを仕込むゲームを改造する(チート) Webサイトの情報を抜き取る

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取りフリーソフトにウイルスを仕込むゲームを改造する(チート) Webサイトの情報を抜き取る Webセキュリティの領域

どうやって攻撃するの？ HOW TO EXPLOIT WEB APPLICATION?

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し，無理やり遠隔でサーバーの管理権限を乗っ取る

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？ Webアプリケーションの脆弱性を利用クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル

どうやって攻撃するの？投稿フォームやHTTPリクエストに細工することで任意のコマンドやプログラムを実行できてしまう →実質的なサーバーの管理権限の奪取

どうやって守るの？ CAN I PROTECT MY APPLICATION FROM INSIDENTS ?

どうやって守るの？サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し，無理やり遠隔でサーバーの管理権限を乗っ取る

どうやって守るの？サーバーへのリモートアクセス ssh mysql -h リモートアクセスできない設定にする認証方式を変える(パスワードだと総当たりされやすい！)

どうやって守るの？ Webアプリケーションの脆弱性を利用クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル

どうやって守るの？ Webアプリケーションの脆弱性を利用脆弱性を塞ぐ(!!!)

どうやって守るの？ Webアプリケーションの脆弱性を利用脆弱性を塞ぐ(!!!) <script>の"<"をエスケープする(文字として扱う) 適切なライブラリや言語機能を使う使うツール群を最新のものに保つ

どうやって守るの？どのような場合でも，Webサーバのログは監視する ↑ 実際に攻撃を受けているログ

どうやって守るの？一番大事なのは攻撃手段を知ること

どうやって守るの？一番大事なのは攻撃手段を知ること Capture the Flag(CTF)の大会 SECCON for Beginners セキュリティ・ミニキャンプ

安全で楽しい開発ライフを Good Noods Cafe • 2020

宣伝 Good Noods Cafe • 2020 ITエンジニアぴよぴよ会@やまぐちその2 いつ：5月25日(土) 13:00～
どこ：宇部新川駅から徒歩5分　うべスタートアップなに：みんなで集まって情報交換をしながら作業　　　(もくもく会) だれ：山口県やその周辺に住む人　初心者メインただ作業するだけでも他の人の作業風景を見ることで普段とは違う経験が得られたりもします　ぜひ来てくださいぴよぴよ会　やまぐち

はじめまして，Webセキュリティ！ / Welcome to the Web security world!

はじめまして，Webセキュリティ！ / Welcome to the Web security world!

hsm_hx

More Decks by hsm_hx

Other Decks in Programming

Featured

Transcript

PIYOPIYO@YAMAGUCHI Welcome to the Web security world! はじめまして， Webセキュリティ！うべこうせん

今日お話することセキュリティって何？どうやって攻撃するの？どうやって守るの？

セキュリティって何？ WHAT IS CYBER SECURITY?

セキュリティとは？要するに，(情報技術を扱う上では) サイバー犯罪に遭わないための対策

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った攻撃

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取りフリーソフトにウイルスを仕込むゲームを改造する(チート) Webサイトの情報を抜き取る

サイバー犯罪とは？ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取りフリーソフトにウイルスを仕込むゲームを改造する(チート) Webサイトの情報を抜き取る Webセキュリティの領域

どうやって攻撃するの？ HOW TO EXPLOIT WEB APPLICATION?

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し，無理やり遠隔でサーバーの管理権限を乗っ取る

どうやって攻撃するの？ Webアプリケーションの構成 Web アプリケーションデータベース

どうやって攻撃するの？ Webアプリケーションの脆弱性を利用クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル

どうやって攻撃するの？投稿フォームやHTTPリクエストに細工することで任意のコマンドやプログラムを実行できてしまう →実質的なサーバーの管理権限の奪取

どうやって守るの？ CAN I PROTECT MY APPLICATION FROM INSIDENTS ?

どうやって守るの？サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し，無理やり遠隔でサーバーの管理権限を乗っ取る

どうやって守るの？サーバーへのリモートアクセス ssh mysql -h リモートアクセスできない設定にする認証方式を変える(パスワードだと総当たりされやすい！)

どうやって守るの？ Webアプリケーションの脆弱性を利用クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクションディレクトリトラバーサル

どうやって守るの？ Webアプリケーションの脆弱性を利用脆弱性を塞ぐ(!!!)

どうやって守るの？ Webアプリケーションの脆弱性を利用脆弱性を塞ぐ(!!!) <script>の"<"をエスケープする(文字として扱う) 適切なライブラリや言語機能を使う使うツール群を最新のものに保つ

どうやって守るの？どのような場合でも，Webサーバのログは監視する ↑ 実際に攻撃を受けているログ

どうやって守るの？一番大事なのは攻撃手段を知ること

どうやって守るの？一番大事なのは攻撃手段を知ること Capture the Flag(CTF)の大会 SECCON for Beginners セキュリティ・ミニキャンプ

安全で楽しい開発ライフを Good Noods Cafe • 2020

宣伝 Good Noods Cafe • 2020 ITエンジニアぴよぴよ会@やまぐちその2 いつ：5月25日(土) 13:00～