セキュリティ SQLインジェクションとアクセスログ
前回SQLインジェクション(SQLi)が存在するコンテンツに対して、sqlmapを使用し、実際にデータベースから情報を取得するところを確認いただいたかと思います。
SQLiは昨今良く発生するクレジットカードの情報漏洩事故や個人情報漏洩事故の主な原因として使用される脆弱性の一つです。
セキュリティ
セキュリティ 
セキュリティ sqlmapを使ってデータベースの中身をのぞいてみよう!
今回は脆弱性診断ツール件、攻撃に使用するツールとしても有名なsqlmapを使用して、実際にDBの中身を覗いてみましょう。
なお、今回の実施につきましては、管理外のwebアプリケーションに実施した際は攻撃とみなされます。(犯罪になります。)
セキュリティ SQLインジェクションのデモをする環境を構築する③
今回でSQLiがあるコンテンツを作成したいと思います。
かなり時間がかかってしまって申し訳ございません。
では早速前回動かなかった理由からいきます!
セキュリティ SQLインジェクションのデモをする環境を構築する②
さて、引き続き環境構築をやっていきます。
少しずつでも進めていきたいと思いますので、頑張りましょう!
前回、DBの準備は終えたので、PHPのコンテンツ作成に行きましょう。
前回、DBの準備は終えたので、PHPのコンテンツ作成に行きましょう。
セキュリティ SQLインジェクションのデモをする環境を構築する①
昨日の私は以下の勉強会で、スピーカーとして発表を行っていました。
[秋葉原]第17回ゼロから始めるセキュリティ入門 勉強会(発表・LT大歓迎)
そこで、SQLインジェクション(以降SQLi)のデモを簡単に行いました。
セキュリティ sqliのデモ用環境構築してました
以下の勉強会用のSQLインジェクション(以後SQLi)検証環境を絶賛準備中です。
[秋葉原]第17回ゼロから始めるセキュリティ入門 勉強会(発表・LT大歓迎)
デモ用の環境が何とか構築できましたが結構詰まりました。
ただ、できない理由も理解でき、構築も終わったので良かったです。
セキュリティ SSIインジェクションの検証③SSIインジェクションへの対策
前回の最後にディレクトリ内のファイル一覧や、「/etc/passwd」が表示されていましたが、なぜ表示されたのでしょうか?
結論から話すとOSコマンドの実行が行われていたからです。
セキュリティ SSIインジェクションの検証②SSIインジェクションの検出
前回SSIが動作させる環境ができましたので、続いてSSIインジェクションを検出する方法をやっていきます。
なお、自分で管理しているサーバに対して、実施するようにしてください。
管理されていないサーバに実施した場合は犯罪になる可能性があります。
セキュリティ SSIインジェクションの検証①SSIの環境を作ろう!
SSIインジェクションという脆弱性について検証していきます。
7年以上、セキュリティの経験がありますが、実際に見たことがあるのは3回程度です。
一度秋葉原の勉強会でも、発表とデモをやりました。
セキュリティ セキュリティ業界の現状
今回の記事については、セキュリティ業界の現状についてです。
私自身この業界に入って8年目となり、色々な経験をしました。
2回転職しましたが、転職先でもセキュリティ関係の仕事をしています。その上で、考えていることを記事にしていきます。