web-application-security

Transcript

1. TTNPOMJOF
   
   
   দҪӳढ़ 8FCΞϓϦέʔγϣϯ։ൃऀ͕
   ηΩϡϦςΟΛͪΐͬͱؤுͬͨ࿩

2. ࣗݾ঺հ 9
   !IJEF দҪ
   ӳढ़ ελʔτΞοϓςΫϊϩδʔςοΫϦʔυ w 8FCΞϓϦέʔγϣϯ։ൃ
   w Ϋϥ΢υઃܭɺߏங ಘҙ෼໺ झຯ

   w ྉཧ
   w Իָ

3. લஔ͖ w ઐ໳͡Όͳ͍෼໺ʹؔͯ͠ܦݧϕʔεͰޠΔͷͰࢦఠ΍ิ଍͸׻ܴͰ͢
   w ۩ମతͳ੡඼໊͕ग़͖ͯ·͕࣮͢ࡍʹݕ౼ɾ࠾༻ͨ͠ྫͱͯ͠ग़͍͚ͨͩ͠ͳͷͰએ఻Ͱ͸͋Γ·ͤΜ
   w "84
   ʹ͍ͩͿدͬͨ࿩Ͱ͢
   w ༏͍͠଎౓ͰϚαΧϦ౤͛ͯͶʂʂ 🪓ϛʋ

   ŋТŋ ʋ

4. ੬ऑੑͷಛੑ ˠ׬શʹʹ͢Δͷ͸೉͘͠ɺݶΓͳ͘ʹ͚͍ۙͮͯ͘
   ɹίετͱಉ͘͡Ұ౓ରࡦͯ͠ऴΘΓͰ͸ͳ͘ৗʹվળ       

       ੬ऑੑͷ਺

5. ؀ڥ w يಓʹ৐͖ͬͯͯɺηΩϡϦςΟʹϦιʔεΛׂ͚Δ༷ʹͳ͖ͬͯͨελʔτΞοϓ
   w ։ൃऀ͸ਓͰɺϑϩϯτΤϯυɺόοΫΤϯυɺΠϯϑϥִͨΓͳ͘΍Δ
   w ؀ڥ͸શ໘తʹ
   "84
   Λ࢖͍ͬͯΔ
   w ࣗ෼͸࣮૷͔Β͠͹Β͘཭Ε͍ͯͯɺΠϯϑϥ ЋͷϦʔυͱͯ͠֎෦͔Βࢀը

6. Ϗδωε ېࢭࣄ߲ɾن໿౳ Ψόφϯε ΞΧ΢ϯτ΍৘ใͷ؅ཧͳͲͷϧʔϧ ؂ࢹɾ਍அ ֤छ
   4BB4
   ΍πʔϧ ϑΝΠΞ΢Υʔϧ ੬ऑੑอޢ΍%%P4ɺෆਖ਼ར༻ରࡦ Πϯϑϥ ωοτϫʔΫ΍ݖݶͷ؅ཧ

   ΞϓϦέʔγϣϯ ࢓༷ͷߟྀ΋Ε΍όάͷ๷ࢭ
   ηΩϡϦςΟύονͷద༻ ؾʹ͠ͳ͍ͱ͍͚ͳ͍ϨΠϠʔͷ۠෼ ˠͲ͔͜Ұखʹ୲͏ͷͰ͸ͳؔ͘܎ऀશһͷ໰୊

7. Ϗδωε ˠٕज़త໰୊Ҏ֎ʹ΋ߟྀࣄ߲͕͋Δ w ن໿
   w େྔΞΫηε΍ΫϩʔϦϯάɺࣗಈԽͷ੍ݶ΍ېࢭͷݕ౼
   w "1*
   ϦΫΤετ্ݶͷܾఆ
   w ௨஌ͱ߹ҙ
   

   w ن໿ͷݟ௚͠ɺվఆ
   w վఆ಺༰ͷ௨஌ͱ߹ҙ
   w ෦໳ؒͷௐ੔
   w ։ൃ෦໳͔ΒͷఏҊͷݕ౼
   w ։ൃ෦໳΁ͷཁ๬

8. Ψόφϯε ˠ։ൃऀ໨ઢͩͱҊ֎खബʹ w ൿಗ৘ใ
   w γʔΫϨοτྨ͸ύϒϦοΫͳ৔ॴʹ഑ஔ͠ͳ͍
   w ը૾ͳͲ͸݁ߏ໡఺
   w ΞΧ΢ϯτ؅ཧ
   

   w .'"
   ͷઃఆ
   w ୺຤ͷอޢ
   w ΢ΟϧεରࡦιϑτͷಋೖͳͲ
   w ೝূͷऔಘ΋ॿ͚ʹͳΔ͔΋

9. ؂ࢹɾ਍அ ؂ࢹɺՄࢹԽπʔϧ ҟৗΞΫςΟϏςΟͷݕ஌΍ਖ਼ৗੑͷ֬ೝɺ௨஌ ɾΤϥʔ΍ܯࠂʹΑΓ߈ܸΛೝ஌
   ɾγεςϜϝτϦΫεͷ؍ଌ
   ɾ௨஌౳ͷࣗಈԽ

10. ؂ࢹɾ਍அ ਍அπʔϧ Ұൠతͳ
    8FC
    ΞϓϦέʔγϣϯ੬ऑੑͷݕ஌ ɾϩάΠϯγφϦΦొ࿥ʹΑΔ໢ཏతͳ८ճ
    ɾύε͝ͱͷࣗಈϦΫΤετʹΑΔ੬ऑੑݕग़
    ɾෳࡶͳϖʔδͷγφϦΦొ࿥ ˠ։ൃʹΑΔ੬ऑੑͷ࡞ΓࠐΈΛܧଓతʹൃݟɾରॲͰ͖Δ

11. ϑΝΠΞ΢Υʔϧ "84
    8"' 8"' $MPVE'SPOU &MBTUJD
    -PBE
    #BMBODJOH w "84
    ΍
    5IJSEQBSUZ
    ͷϚωʔδυϧʔϧΛઃఆ
    w ಠࣗͷϧʔϧ΋ઃఆՄೳ
    w

    ֤छ
    "84
    Ϧιʔεͱ౷߹Մೳ
    w 8"'
    ͦͷ΋ͷ
    
    Ϛωʔδυϧʔϧ͝ͱͷྉۚ

12. ϑΝΠΞ΢Υʔϧ "84
    8"'
    ར఺ 8"' $MPVE'SPOU &MBTUJD
    -PBE
    #BMBODJOH w ϚωʔδυͰଟ͘ͷ੬ऑੑʹରԠͰ͖Δ
    w ಈతʹγάωνϟ͕Ξοϓσʔτ͞ΕΔ
    

    w ΞϓϦέʔγϣϯ౳ͷϨΠϠʔ͔Β੾Γ཭ͤΔ
    w ΞϓϦέʔγϣϯϦιʔεʹෛՙ͕͔͔Βͳ͍

13. 8"' "84
    8"'
    ݕ౼ࣄ߲ͱେମܾ·ͬͯ͘Δ͜ͱ w ର৅Ϧιʔε
    w "-#
    w $MPVE'SPOU
    w

    ϧʔϧ
    w ˞ཁݕ౼
    w ϩΪϯά
    w $MPVE8BUDI
    -PHT
    w 4
    w "NB[PO
    ,JOFTJT
    %BUB
    'JSFIPTF

14. 8"' "84
    8"'
    ྉۚ ྫ
    '
    3VMFT
    GPS
    "84
    8"'
    
    $PNNPO
    7VMOFSBCJMJUJFT
    
    &YQPTVSFT
    $7&
    3VMFT
    ͷ৔߹ wϦʔδϣϯ͝ͱʹ

    ݄
    wສϦΫΤετ ˠ8"'
    
    Ϛωʔδυϧʔϧ
    
    8$6
    ͷίετ͕͔͔Δ

15. 8"' "84
    8"'
    ߟ͑Δ΂͖͜ͱ w ಋೖλΠϛϯά
    w ॳظಋೖ͓͚ͯ͠͹ΞϓϦέʔγϣϯଆͷӨڹΛ࠷খݶʹͰ͖Δ͕ɺίετ͕͔͔Δ
    w ಈ࡞΁ͷӨڹ
    w

    ॳظಋೖͷ৔߹͸ཁ݅ΛຬͨͤΔ͔Α͘ݕ౼͢Δඞཁ͕͋Δ
    w ్தಋೖͷ৔߹΋طଘಈ࡞ʹӨڹ͕ͳ͍͔ݕ౼͢Δඞཁ͕͋Δ
    w ίετࢼࢉ
    w ผϨΠϠʔͰͷରԠ
    w 8"'
    ͱ͸ผͷϨΠϠʔͰରԠ΋Մೳͳ΋ͷ΋͋ΔʢFUD
    *1
    ੍ݶͳͲʣ

16. Πϯϑϥʢ͍ͯ͏͔
    "84ʣ w *".
    ϩʔϧʹ༩͍͑ͯΔݖݶ͸࠷௿ݶʹͳ͍ͬͯΔ͔ʁ
    w ωοτϫʔΫઃఆ͸ඞཁ࠷௿ݶʹͳ͍ͬͯΔ͔ʁ
    w αϒωοτ
    w ηΩϡϦςΟάϧʔϓ
    w

    Πϯλʔωοτʹग़͞ͳͯ͘ྑ͍௨৴͕ग़ͯͳ͍͔ʁ
    w ؀ڥม਺ͳͲͷγʔΫϨοτྨͷ؅ཧ͸ద੾͔ʁ
    w 1BSBNFUFS4UPSF
    w 4FDSFU
    .BOBHFS
    w ෆཁͳڞ༗͕ͳ͍͔ʁ

17. Πϯϑϥʢ͍ͯ͏͔
    "84ʣ w ؀ڥʹ઀ଓͰ͖ΔՕॴ͸ՄೳͳݶΓด͍ͯ͡Δ͔ʁ
    w ౿Έ୆
    w FDT
    FYFDVUFDPNNBOE
    w αʔόʔ΍ίϯςφʹ੬ऑੑ͸ͳ͍͔ʁ
    w

    ΠϝʔδεΩϟϯ͢Δ
    w ηΩϡϦςΟύονͷద༻
    w ݕ஌΍௨஌ͷ࢓૊Έ͸ಋೖ͞Ε͍ͯΔ͔ʁ
    w 4FDVSJUZ
    )VC
    
    (VBSE
    %VUZ
    Ͱͷ
    4MBDL
    ௨஌ͳͲ
    w ΞΧ΢ϯτӡ༻͸ద੾͔ʁ

18. ΞϓϦέʔγϣϯ Ұൠతʹ஌ΒΕΔ੬ऑੑΛ࡞ΓࠐΜͰ͠·͍ͬͯΔɺ·ͨ͸ରࡦ͕ෆे෼ͳՄೳੑ΋͋Δɻ w $43'
    w ϒϧʔτϑΥʔε
    w ηογϣϯϋΠδϟοΫ
    w 42-
    ΠϯδΣΫγϣϯ
    

    w ѱҙ͋ΔιʔείʔυΛؚΉ
    044
    ΍ϥΠϒϥϦͷར༻
    w FUD ྫ

19. ΞϓϦέʔγϣϯ ϩάΠϯηογϣϯͷ؅ཧ͕ద੾ͰɺϩάΠϯॲཧࣗମʹ੬ऑੑ͕ͳ͍ͱ͍͏લఏͰ͋ͬͯ΋
    ϩάΠϯޙͷը໘ͷ࣮૷࣍ୈͰ੬ऑੑΛੜΜͰ͠·͏ةݥੑ͕͋Δɻ w ࣮͸ଞͷϢʔβʔͷ౤ߘΛվ͟ΜͰ͖ͯ͠·͏
    w ଞͷϢʔβʔͷ
    *%
    Λࢦఆ͢Ε͹ݸਓ৘ใ͕ݟ͑ͯ͠·͏
    w 6*
    తʹ͸૝ఆͨ͠ૢ࡞͔͠Ͱ͖ͳ͍͕ɺπʔϧΛ࢖͑͹૝ఆ֎ͷ
    $36%
    ͕੒ཱͯ͠͠·͏ ྫ

    ˠࣗಈςετ౳ͰରԠ΋Ͱ͖Δ͕ɺࣗಈςετͷ؍఺͕࿙Ε͍ͯͨΒൃੜͯ͠͠·͏
    ɹϨϏϡʔ΍ܒ໤ͰؤுΔ͔͠ͳ͍͔΋

20. ͦͷଞ w 8FC
    ্ͷҰൠతͳΨΠυϥΠϯͷ९क
    w ύεϫʔυϙϦγʔ΍ϩάΠϯͷ࢓༷
    w ϝʔϧͷૹ৴
    w Ξοϓσʔτ
    w

    ݴޠ΍ϑϨʔϜϫʔΫ
    w ϥΠϒϥϦ
    w ϛυϧ΢ΣΞ

21. ·ͱΊ w ؔΘΔϝϯόʔશһ͕ࣗ෼͝ͱͱͯ͠ηΩϡϦςΟʹऔΓ૊Έ·͠ΐ͏
    w ͋ΒΏΔϨΠϠʔͰ੬ऑੑ͕ൃੜ͑͠·͢
    w Ұ౓ରࡦͨ͠Β0,Ͱ͸ͳ͘ܧଓతʹ੬ऑੑΛʹ͚͍͖ۙͮͯ·͠ΐ͏
    w ҟͳΔ໾ׂͷνʔϜؒͰ࿈ܞͯ͠ରࡦ͠·͠ΐ͏

22. ηΩϡϦςΟʹؔ͢Δ৘ใऩू w 08"41
    +BQBO
    w $ZCFSTFD
    w 4FDVSJUZ+"84

23. ͓ΘΓ