Upgrade to Pro — share decks privately, control downloads, hide ads and more …

情報セキュリティ勉強会 実践編

Avatar for Yusuke Saito Yusuke Saito
August 30, 2017
Technology
820
1

 情報セキュリティ勉強会 実践編

Webアプリの脆弱性対策について

Avatar for Yusuke Saito

Yusuke Saito

August 30, 2017

More Decks by Yusuke Saito

See All by Yusuke Saito
情報セキュリティ勉強会 基礎編
Avatar for Yusuke Saito yusuke_saito
2
1.3k
せっかくのグローバルイベントだから海外のエンジニアと話そう!
Avatar for Yusuke Saito yusuke_saito
0
620
RFCから読むHTTP/2の仕組みと速さの秘密
Avatar for Yusuke Saito yusuke_saito
0
400

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
Avatar for oracle4engineer oracle4engineer
PRO
1
180
Gradle×GitHub_ActionsでCI時間を約50%短縮 ジョブ分割の設計と落とし穴 / Cutting CI Time by ~50% with Gradle and GitHub Actions: Job-Splitting Design and Pitfalls
Avatar for 冨澤宝斗 takatty
0
620
AIガバナンス実践 - 生成AIコネクタのデータ漏洩リスクと実務対策
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
180
Spring AI × MCP 入門〜AIエージェントへのツール公開、境界設計から始める最小構成 〜
Avatar for 宮本裕也 yuyamiyamoto
0
210
ChatworkとBPaaS 異なる特性で学んだAI機能開発の ベストプラクティス
Avatar for kubell kubell_hr
2
2.6k
JEP 522 Deep Dive - G1 GC同期コスト削減によるスループット向上を徹底検証&解説
Avatar for Daishi Tabata tabatad
1
750
AI Engineering Summit Tokyo 2026 AIの前に、やることがある 〜医療データ企業の4フェーズ〜
Avatar for Daisuke Taniwaki dtaniwaki
0
1.7k
MIERUNE JCT 発表資料「宇宙から伊能忠敬ごっこ」
Avatar for じゃらしまる syuchimu
0
170
AI と創る新たな世界 / A New World Created with AI
Avatar for Kenji Saito ks91
PRO
0
110
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
Avatar for Hiroki Suezawa (@rung) rung
PRO
2
670
Mastering Ruby Box
Avatar for Satoshi Tagomori tagomoris
3
150
Sony_KMP_Journey_KotlinConf2026
Avatar for ソニー株式会社 sony
2
210

Featured

See All Featured
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
440
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
190
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
480
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
2
1.7k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
200
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.9k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
Avatar for Helen Beal helenjbeal
1
220
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
55
10k
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
170

Transcript

  1. ηΩϡϦςΟษڧձ ࣮ફฤ 2017/08/30

  2. ໨࣍ 1. ྫͷΞϨ 2. WebγεςϜ͕ड͚Δ߈ܸͱ͸ 3. ΍Δ΂͖ରࡦͱ͸ 4. ੬ऑੑͷݟ͚ͭํͱ͸

  3. ྫͷΞϨ

  4. IUUQXXXTPGUJDPSKQTFNJ@PQQEG

  5. ηΩϡϦςΟରࡦ͸΍ͬͯ౰ͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυ৘ใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ൑ܾͷϙΠϯτ͸ɺ

  6. ηΩϡϦςΟରࡦ͸΍ͬͯ౰ͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυ৘ใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ൑ܾͷϙΠϯτ͸ɺ

  7. ηΩϡϦςΟରࡦ͸΍ͬͯ౰ͨΓલ SQLΠϯδΣΫγϣϯ͕ݪҼͰΧʔυ৘ใ͕ྲྀग़ͨ͠ࣄ݅Ͱ͢ɻ ൑ܾͷϙΠϯτ͸ɺ

  8. SQLΠϯδΣΫγϣϯରࡦΛࢪͨ͠ ϓϩάϥϜΛఏڙ͢΂͖࠴຿

  9. ಉ࣌ʹɺ

  10. ʮ๬·͍͠ʯ͸ඞਢͰ͸ͳ͍

  11. ʮ๬·͍͠ʯ͸ඞਢͰ͸ͳ͍

  12. ʮ๬·͍͠ʯ͸ඞਢͰ͸ͳ͍

  13. ͯ͞ɺԿ͕΍Δඞཁͷ ͋Δରࡦͳͷ͔

  14. None
  15. None
  16. None

  17. ෮श͠·͠ΐ͏ɻ

  18. ࡋ൑Ͱෛ͚ͳ͍ͨΊͷ౒ྗ ʮࡋ൑ରࡦʯͱͯ͠͸ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱ͸ɺʮ΍ͬͯ౰ͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ

  19. ࡋ൑Ͱෛ͚ͳ͍ͨΊͷ౒ྗ ʮࡋ൑ରࡦʯͱͯ͠͸ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱ͸ɺʮ΍ͬͯ౰ͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏཯ɾ੓ྩɾলྩ

  20. ࡋ൑Ͱෛ͚ͳ͍ͨΊͷ౒ྗ ʮࡋ൑ରࡦʯͱͯ͠͸ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱ͸ɺʮ΍ͬͯ౰ͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏཯ɾ੓ྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ

  21. ࡋ൑Ͱෛ͚ͳ͍ͨΊͷ౒ྗ ʮࡋ൑ରࡦʯͱͯ͠͸ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱ͸ɺʮ΍ͬͯ౰ͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏཯ɾ੓ྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ

  22. ࡋ൑Ͱෛ͚ͳ͍ͨΊͷ౒ྗ ʮࡋ൑ରࡦʯͱͯ͠͸ɺԼهͷΑ͏ͳυΩϡϝϯτʹॻ͍ͯ ͋Δ͜ͱ͸ɺʮ΍ͬͯ౰ͨΓલʯͱ͍͏ѻ͍Λड͚·͢ɻ ๏཯ɾ੓ྩɾলྩ ܦࡁ࢈ۀলͷΨΠυϥΠϯ *1"ͷΨΠυϥΠϯ ۀքஂମͷΨΠυϥΠϯ

  23. WebγεςϜ͕ड͚Δ ߈ܸͱ͸

  24. ৘ใηΩϡϦςΟ10େڴҖ

  25. ৘ใηΩϡϦςΟ10େڴҖ

  26. OWASP Top10 OWASP (The Open Web Application Security Project) ͕ൃද͢Δɺॏ

    ཁͳڴҖΛ·ͱΊͨυΩϡϝϯτɻϦεΫͷߴ͞΍߈ܸγφϦΦ΋·ͱ ·͍ͬͯΔͷͰɺඇৗʹࢀߟʹͳΔɻ https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf

  27. OWASP Top10 (2013)

  28. OWASP Top10 (2013)

  29. OWASP Top10 (2013)

  30. OWASP Top10 (2013)

  31. ΍Δ΂͖ରࡦͱ͸

  32. ҆શͳ΢ΣϒαΠτͷ࡞Γํ http://www.ipa.go.jp/security/vuln/websecurity.html

  33. ҆શͳ΢ΣϒαΠτͷ࡞Γํ ։ൃ࣌ʹ࣮ࢪ͢΂͖ηΩϡϦςΟରࡦʹ͍ͭ ͯ·ͱΊΒΕ͍ͯ·͢ɻ

  34. ҆શͳ΢ΣϒαΠτͷ࡞ΓํɹνΣοΫϦετ

  35. ੬ऑੑͷݟ͚ͭํ

  36. ΢Σϒ݈߁਍அ࢓༷ ΢ΣϒΞϓϦͷ੬ऑੑݕࠪͷํ๏ʹ͍ͭͯ· ͱΊΒΕ͍ͯ·͢ɻ

  37. ੬ऑͳαΠτͰ੬ऑੑΛݟ͚ͭͯΈΑ͏

  38. WebGoat IUUQTHJUIVCDPN8FC(PBU8FC(PBU ͓खܰʹ੬ऑੑΛࢼͤΔ 8FCΞϓϦέʔγϣϯɻ ͱͬͯ΋੬ऑʂ

  39. ੬ऑ͗ͯ͢֎ʹཱͯΔͷ͸ ጨΒΕΔͷͰ

  40. Φεεϝ͸DockerͰʂ docker run -p 8080:8080 webgoat/webgoat-7.1

  41. IUUQMPDBMIPTU8FC(PBU HVFTUHVFTUͰϩάΠϯͨ͠Β

  42. ϝχϡʔ͔Βࢼ͍ͨ͠੬ऑੑΛ୳ͯ͠༡΅͏ʂ

  43. ੬ऑੑνΣοΫπʔϧ 08"41;"1 08"41͕ఏڙ͢Δπʔϧɻ IUUQTXXXPXBTQPSHJOEFYQIQ08"41@;FE@"UUBDL@1SPYZ@1SPKFDU

  44. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̍ʣ ;"1ͷΦϓγϣϯ͔ΒɺʮϩʔΧϧɾ ϓϩΩγʯΛઃఆ͢Δɻ ઌఔͷ8FC(PBU͕Ͱಈ͍͍ͯ Δͱࢥ͏ͷͰɺॏͳΒͳ͍ϙʔτͰಈ ͔͠·͠ΐ͏ʂʢྫͰ͸ʣ

  45. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̎ʣ ωοτϫʔΫઃఆ͔Β8FCϓϩ ΩγΛઃఆɻઌఔͷ;"1Ͱઃఆ ͨ͠ϙʔτΛࢦఆͯ͠Լ͍͞ɻ

  46. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/

  47. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̏ʣ ϒϨʔΫઃఆΛ0/

  48. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̐ʣ ϒϥ΢β͔Β ΞΫηεΛ࣮ߦ

  49. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̑ʣ ΞΫηεΛั֫ʂ

  50. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ

  51. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖׵͑ͯ

  52. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̒ʣ ύϥϝʔλΛॻ͖׵͑ͯ (0

  53. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ

  54. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̓ʣ Ϩεϙϯε͕ฦͬͯ͘Δʂ ଓ͖Λ(0ʂ

  55. OWASP ZAPͷ࢖͍ํ ϩʔΧϧϓϩΩγฤʢ̔ʣ ϒϥ΢βʹϨεϙϯε͕දࣔ͞ΕΔʂ

  56. ͓खܰʹ͍ΖΜͳ੬ऑੑΛπʔϧͰ νΣοΫͯ͘͠ΕͨΒ͍͍ͷʹʂ

  57. OWASP ZAPͷ࢖͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ

  58. OWASP ZAPͷ࢖͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β

  59. OWASP ZAPͷ࢖͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠

  60. OWASP ZAPͷ࢖͍ํ ηΩϡϦςΟεΩϟϯฤʢ̍ʣ ΫΠοΫελʔτ͔Β 63-Λೖྗͯ͠ (0

  61. OWASP ZAPͷ࢖͍ํ ηΩϡϦςΟεΩϟϯฤʢ̎ʣ ࣌ؒ͸݁ߏ͔͔Δɻ ʢ౰વαΠτن໛ʹΑΔʣ ͜Ε͸SVCZHPBUͱ͍͏ผͷ(PBUͰͷ݁Ռɻ ໿෼ɻ