Upgrade to Pro — share decks privately, control downloads, hide ads and more …

はじめまして,Webセキュリティ! / Welcome to the Web security...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for hsm_hx hsm_hx
April 20, 2019
Programming
1
190

はじめまして,Webセキュリティ! / Welcome to the Web security world!

2019/04/20 ITエンジニアぴよぴよ会@やまぐち にて登壇したスライドです。

Avatar for hsm_hx

hsm_hx

April 20, 2019
Tweet

More Decks by hsm_hx

See All by hsm_hx
エンジニアにありがちな自己満足UI(笑) / How to make iikanji UI design?
Avatar for hsm_hx hsm_hx
0
450
エンジニアの必需品 Gitを学ぼう! / Lets use Git for engineering!
Avatar for hsm_hx hsm_hx
0
220
2019年度部活動説明会 / CombIntro2019
Avatar for hsm_hx hsm_hx
0
180
進捗を支える文房具 / stationary which support progress
Avatar for hsm_hx hsm_hx
3
450
世界征服が夢の高専生が部活を征服する話 / I wanna dominate this world
Avatar for hsm_hx hsm_hx
1
1.5k
技術同人誌を書いてみた話 / Let's write your tech-book
Avatar for hsm_hx hsm_hx
0
820
1on1自己紹介/1on1-self-introduction
Avatar for hsm_hx hsm_hx
0
2.4k
2018-09-22 逆求人フェスティバル / Reversed job-offer-festival
Avatar for hsm_hx hsm_hx
0
4.2k
めかぶと納豆でしゅうまいを作った話 / Make Shumai from MeCab and Natto
Avatar for hsm_hx hsm_hx
0
660

Other Decks in Programming

See All in Programming
16年目のピクシブ百科事典を支える最新の技術基盤 / The Modern Tech Stack Powering Pixiv Encyclopedia in its 16th Year
Avatar for ahu ahuglajbclajep
5
940
プロダクトオーナーから見たSOC2 _SOC2ゆるミートアップ#2
Avatar for Kenta Suzuki kekekenta
0
120
GISエンジニアから見たLINKSデータ
Avatar for nokonoko1203 nokonoko1203
0
190
組織で育むオブザーバビリティ
Avatar for ryotaro kobayashi ryota_hnk
0
150
責任感のあるCloudWatchアラームを設計しよう
Avatar for アキキー akihisaikeda
3
130
humanlayerのブログから学ぶ、良いCLAUDE.mdの書き方
Avatar for Yuto tsukamoto1783
0
160
カスタマーサクセス業務を変革したヘルススコアの実現と学び
Avatar for Tomoyuki Hamaguchi _hummer0724
0
410
LLM Observabilityによる 対話型音声AIアプリケーションの安定運用
Avatar for Hiroyuki Moriya gekko0114
2
400
HTTPプロトコル正しく理解していますか? 〜かわいい猫と共に学ぼう。ฅ^•ω•^ฅ ニャ〜
Avatar for ♛Heitor Hirose hekuchan
2
660
AgentCoreとHuman in the Loop
Avatar for Har1101 har1101
5
200
MDN Web Docs に日本語翻訳でコントリビュート
Avatar for uutan1108 ohmori_yusuke
0
610
Python札幌 LT資料
Avatar for t3tra t3tra
7
1.1k

Featured

See All Featured
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
32
2.8k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
1
100
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
570
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.5k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
1.8k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
6.9k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
110
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
0
470
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
280

Transcript

  1. PIYOPIYO@YAMAGUCHI Welcome to the Web security world! はじめまして, Webセキュリティ! うべこうせん

    はすみ(@hsm_hx)

  2. 今日お話すること セキュリティって何? どうやって攻撃するの? どうやって守るの?

  3. セキュリティって何? WHAT IS CYBER SECURITY?

  4. セキュリティとは? セキュリティ(英: security)は、人、住居、地域社会、国家、 組織、資産などを対象とした、害からの保護。 一般には保安の ことであり、犯罪や事故などを防止するための警備全般を指す。 出典 : セキュリティ -

    Wikipedia

  5. セキュリティとは? 要するに,(情報技術を扱う上では) サイバー犯罪に遭わないための対策

  6. サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った攻撃

  7. サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取り フリーソフトにウイルスを仕込む ゲームを改造する(チート) Webサイトの情報を抜き取る

  8. サイバー犯罪とは? ソフトウェアやサービスの脆弱性を狙った不正攻撃 SNSのアカウントの乗っ取り フリーソフトにウイルスを仕込む ゲームを改造する(チート) Webサイトの情報を抜き取る Webセキュリティの領域

  9. どうやって攻撃するの? HOW TO EXPLOIT WEB APPLICATION?

  10. どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース

  11. どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース

  12. どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース

  13. どうやって攻撃するの? サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し, 無理やり遠隔でサーバーの管理権限を乗っ取る

  14. どうやって攻撃するの? Webアプリケーションの構成 Web アプリケーション データベース

  15. どうやって攻撃するの? Webアプリケーションの脆弱性を利用 クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクション ディレクトリトラバーサル

  16. どうやって攻撃するの? 投稿フォームやHTTPリクエストに細工することで 任意のコマンドやプログラムを実行できてしまう →実質的なサーバーの管理権限の奪取

  17. どうやって守るの? CAN I PROTECT MY APPLICATION FROM INSIDENTS ?

  18. どうやって守るの? サーバーへのリモートアクセス ssh mysql -h パスワードを総当たりで攻撃し, 無理やり遠隔でサーバーの管理権限を乗っ取る

  19. どうやって守るの? サーバーへのリモートアクセス ssh mysql -h リモートアクセスできない設定にする 認証方式を変える(パスワードだと総当たりされやすい!)

  20. どうやって守るの? Webアプリケーションの脆弱性を利用 クロスサイトスクリプティング(XSS) SQLインジェクション OSコマンドインジェクション ディレクトリトラバーサル

  21. どうやって守るの? Webアプリケーションの脆弱性を利用 脆弱性を塞ぐ(!!!)

  22. どうやって守るの? Webアプリケーションの脆弱性を利用 脆弱性を塞ぐ(!!!) <script>の"<"をエスケープする(文字として扱う) 適切なライブラリや言語機能を使う 使うツール群を最新のものに保つ

  23. どうやって守るの? どのような場合でも,Webサーバのログは監視する ↑ 実際に攻撃を受けているログ

  24. どうやって守るの? 一番大事なのは 攻撃手段を知ること

  25. どうやって守るの? 一番大事なのは 攻撃手段を知ること Capture the Flag(CTF)の大会 SECCON for Beginners セキュリティ・ミニキャンプ

  26. 安全で楽しい開発ライフを Good Noods Cafe • 2020

  27. 宣伝 Good Noods Cafe • 2020 ITエンジニアぴよぴよ会@やまぐち その2 いつ:5月25日(土) 13:00~

    どこ:宇部新川駅から徒歩5分 うべスタートアップ なに:みんなで集まって情報交換をしながら作業    (もくもく会) だれ:山口県やその周辺に住む人 初心者メイン ただ作業するだけでも他の人の作業風景を見ることで 普段とは違う経験が得られたりもします ぜひ来てください ぴよぴよ会 やまぐち