Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20150530 セキュリティ実践講座 -優しい愛をあなたに-
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Masaru Ogura
May 30, 2015
Technology
0
32
20150530 セキュリティ実践講座 -優しい愛をあなたに-
2015/5/30のエフスタ!!AIZUの資料です。
Masaru Ogura
May 30, 2015
Tweet
Share
More Decks by Masaru Ogura
See All by Masaru Ogura
20260120 Amazon VPC のパブリックサブネットを無くしたい!
masaruogura
2
180
20251126 アウトプットの大切さについて
masaruogura
0
110
20250822 「AWS運用入門」で運用を体系的に学ぼう
masaruogura
0
70
20241218 私の気になる VPC 周りのアップデート
masaruogura
0
150
20240530 Backlogでスクラムを回してみよう
masaruogura
0
370
20240516 JAWS-UG 朝会 運営の裏側
masaruogura
1
250
20240509 CloudWatch でいろいろなものを監視してみよう
masaruogura
1
320
20240329 第34回 JAWS-UG札幌勉強会 オープニング
masaruogura
0
59
20240216 Amazon Linux 2 を 2023 に移行してみた
masaruogura
1
7.4k
Other Decks in Technology
See All in Technology
Claude Code for NOT Programming
kawaguti
PRO
1
110
SREじゃなかった僕らがenablingを通じて「SRE実践者」になるまでのリアル / SRE Kaigi 2026
aeonpeople
6
2.6k
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
480
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
150
登壇駆動学習のすすめ — CfPのネタの見つけ方と書くときに意識していること
bicstone
3
130
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
sansantech
PRO
3
1.6k
GitHub Issue Templates + Coding Agentで簡単みんなでIaC/Easy IaC for Everyone with GitHub Issue Templates + Coding Agent
aeonpeople
1
260
Agile Leadership Summit Keynote 2026
m_seki
1
680
Ruby版 JSXのRuxが気になる
sansantech
PRO
0
170
Kiro IDEのドキュメントを全部読んだので地味だけどちょっと嬉しい機能を紹介する
khmoryz
0
210
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
shift_evolve
PRO
2
210
旅先で iPad + Neovim で iOS 開発・執筆した話
zozotech
PRO
0
100
Featured
See All Featured
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
120
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
Learning to Love Humans: Emotional Interface Design
aarron
275
41k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
180
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
170
From π to Pie charts
rasagy
0
130
The untapped power of vector embeddings
frankvandijk
1
1.6k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
87
Rails Girls Zürich Keynote
gr2m
96
14k
The agentic SEO stack - context over prompts
schlessera
0
650
Done Done
chrislema
186
16k
Transcript
セキュリティ実践講座 -優しい愛をあなたに- 2015/5/30 Sat エフスタ!!AIZU
自己紹介 • 名前 :小倉 大 (おぐら まさる) • Twitter :@MasaruOgura
• 北海道出身 • ネットワークエンジニア • エフスタ!!TOKYOのスタッフ • SPREAD情報セキュリティマイスター • スイーツ大好き
アジェンダ • 目的 • 留意事項 • SQLインジェクションとは • デモ環境説明 •
デモ・解説 • 対策 • まとめ
目的 • SQLインジェクションを知る - 防御のために攻撃を理解する • セキュリティへの関心を高める - 家のローカル環境で試してくれる人がいるといいな
留意事項 • インターネット上のWebサーバに攻撃し てはいけません - 法的措置をとられる可能性があります • 私はネットワークエンジニアです
SQLインジェクションとは ※SQLインジェクション - Wikipedia http://ja.wikipedia.org/wiki/SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82 %AF%E3%82%B7%E3%83%A7%E3%83%B3 SQLインジェクションとは、アプリケーションのセキュリ ティ上の不備を意図的に利用し、アプリケーションが想定 しないSQL文を実行させることにより、データベースシス テムを不正に操作する攻撃方法のこと。また、その攻撃を
可能とする脆弱性のこと。 悪意のある攻撃者 Webサーバ データベース 不正なリクエスト 処理結果を取得 不正なリクエスト 不正なリクエスト を処理
デモ環境説明 (1/2) デモにBadStore.netを利用します。 BadStore.net は、脆弱性をわざと作りこん である Linuxです。 ※2015/5/6に正規のサイトにアクセスしたのですが、接続できなかっ たので、もしかしたら提供が終了しているかもしれません。
Windows7上のVMWarePlayerで、 BadStore.netを起動し、HostOSから GuestOSに対してSQLインジェクションを 実施 デモ環境説明 (2/2) 192.168.177.0/24 .254 .128 GuestOS(BadStore.net)
HostOS(Windows7)
デモ・解説 (1/6) 事前に以下のユーザを作成済み Email Address : phenix Password : phenix
デモ・解説 (2/6) phenixユーザでログイン Email Address : phenix Password : phenix
- SQL文のイメージ select * from <Table名> where email= ‘phenix’ and passwd=‘phenix’;
デモ・解説 (3/6) Email Passwd Age Address satoshi konkatsu 35 Tokyo
phenix phenix 41 koriyama kageyama gesui 36 moriya dj kato 30 Aizu hayash sportsbar 30 Koriyama : データベース例
デモ・解説 (4/6) phenixユーザがいることを知っている場合 Email Address : phenix ‘ or ‘
1=1’ --‘ Password : なし - SQL文のイメージ select * from <Table名> where email= ‘phenix ‘ or ‘ 1=1’ --‘’ and passwd=‘’;
デモ・解説 (5/6) ユーザ情報を知らない場合 Email Address : ' or 1=1 or
' Password : なし - SQL文のイメージ select * from <Table名> where email= ‘’ or 1=1 or ‘’ and passwd=‘’;
デモ・解説 (6/6) おまけ Admin権限のユーザ作成 Email Address : test Password :
test Burp Suiteを経由して、リクエスト内容を 変更する ※ Badstore.net User Manual http://www.cs.umd.edu/class/fall2012/cmsc498L/materials/BadStore_net_v1_2_Manual.pdf
対策 (1/4) 脆弱性検査ツールを利用 ※ IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介(ウェブアプリケーション検査編)」 https://www.ipa.go.jp/files/000035859.pdf
対策 (2/4) OWASP ZAP使用例
対策 (3/4) Webサイトの管理者は、既知の脆弱性について対 策を実施しましょう Webサイトを公開する前にすること 1. 脆弱性検査ツールで脆弱性の有無を確認 2. 結果の内容を確認 3.
脆弱性がある場合、脆弱性対策を実施 4. もう一度、脆弱性検査ツールで修正を確認 ※4で脆弱性を検知する場合は、2~4を繰り返す
対策 (4/4) ユーザ側でできること ・ウイルス対策ソフトを導入し、定義ファイルを 最新に保つ ・OSやアプリケーションにセキュリティパッチを 適用する ・パスワードの使いまわしをしない
まとめ ・脆弱性があればSQLインジェクションなどの攻 撃は簡単にできる ・脆弱性の知識がなくても、ツールを利用するこ とで、既知の脆弱性の有無を確認できる ・脆弱性対策を実施し、セキュリティリスクを低 減する
ご清聴ありがとうございました
Appendix 参考資料 「わざと脆弱性を持たせたWebアプリ」で練習を http://www.atmarkit.co.jp/fsecurity/column/ueno/59.html 警察庁 サイバー犯罪対策 不正アクセス行為の禁止等に関する法律の解説 https://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf IPA 知っていますか?脆弱性
- 1. SQLインジェクション http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html IPA 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html
Appendix 参考資料 IPA SQLインジェクション対策について http://www.ipa.go.jp/files/000024396.pdf Badstore.net User Manual http://www.cs.umd.edu/class/fall2012/cmsc498L/materials/BadStore_net_ v1_2_Manual.pdf
masaruogura
kawaguti
aeonpeople
zepprix
abemii
bicstone
sansantech
m_seki
khmoryz
shift_evolve
zozotech
sabderemane
aleyda
aarron
marktimemedia
427marketing
frankvandijk
rasagy
kimpetersen
gr2m
schlessera
chrislema
