Upgrade to Pro — share decks privately, control downloads, hide ads and more …

攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習

攻撃してわかる情報セキュリティ / 情報倫理プレゼンテーション演習

Naoki Ikeguchi

January 28, 2019
Tweet

More Decks by Naoki Ikeguchi

Other Decks in Programming

Transcript

  1. デモ • 「豊田高専」を暗号文にして,元に戻ることを確認する. • 今回は,オープンソースのライブラリであるOpenSSLを用いた. >openssl genrsa 2048 > privkey.pem

    >openssl rsa -in privkey.pem -pubout -out pubkey.pem >echo “豊田高専” | openssl rsautl -encrypt -pubin -inkey pubkey.pem -out toyota.enc >openssl rsautl -decrypt -inkey privkey.pem -in toyota.enc Demonstration 4
  2. 6 Webへの攻撃 • XSS(クロスサイトスクリプティング)攻撃 • 主にユーザが文章などを投稿できるサイトで,悪意のあるスクリプトを埋 め込もうとする攻撃. • HTMLなどとして認識される特殊文字(<>など)への対策をしていない サイトで起こり得る.

    • SQLインジェクション攻撃 • 検索機能などで,本来は表示されないデータも表示できてしまう攻撃. • 検索語句などをそのままSQL文に埋め込んでいるしているサイトで起こ り得る. Attacking to Web
  3. 7 デモ • XSS攻撃 • Twitterのような投稿サイトで,スクリプトを含む文字列を投稿する. • 投稿が表示されるときに,スクリプトが動作することを確認する. • SQLインジェクション攻撃

    • 秘密のデータは隠されている表で, SQL文を含む文字列で検索して秘密のデータも表示させる. 今回使用するプレイグラウンドを公開しています. sikeserver.com/jrdemo Demonstration
  4. 9 参考文献 • The Internet Society(2000) 「RFC2818 - HTTP over

    TLS」 (https://tools.ietf.org/html/rfc2818), 2019年1月21日閲覧. • Internet Engineering Task Force(2016) 「RFC8017 - PKCS #1: RSA Cryptography Specifications Version 2.2」 (https://tools.ietf.org/html/rfc8017), 2019年1月21日閲覧. • The Open Web Application Security Project(2018) 「Cross-site Scripting (XSS)」 (https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)), 2019年1月21日閲覧. References