セキュリティ

スポンサーリンク
ニュース

2018年6月に発生したセシールの不正アクセスについて

最近発生した情報漏洩事件の中で、個人的に興味を持った内容があったので紹介します。 ※なお、記載の内容については個人的見解であることをあらかじめご承知おきください。
資格

ISACAのCISMを狙いにいきます!

今月の末にCISSPの試験を受けるのですが、実はあまり自信がありません・・・ テキストの発売が延長になっていることも一つあるのですが、日本語の問題集がないことが結構大きいです・・・ 英語のものならあるのですが、読むのに日本語の数倍時間がかかるので、モチベーションが上がらないですね。
セキュリティ

SQLインジェクションとアクセスログ

前回SQLインジェクション(SQLi)が存在するコンテンツに対して、sqlmapを使用し、実際にデータベースから情報を取得するところを確認いただいたかと思います。 SQLiは昨今良く発生するクレジットカードの情報漏洩事故や個人情報漏洩事故の主な原因として使用される脆弱性の一つです。
セキュリティ

sqlmapを使ってデータベースの中身をのぞいてみよう!

今回は脆弱性診断ツール件、攻撃に使用するツールとしても有名なsqlmapを使用して、実際にDBの中身を覗いてみましょう。 なお、今回の実施につきましては、管理外のwebアプリケーションに実施した際は攻撃とみなされます。(犯罪になります。)
セキュリティ

SQLインジェクションのデモをする環境を構築する③

今回でSQLiがあるコンテンツを作成したいと思います。 かなり時間がかかってしまって申し訳ございません。 では早速前回動かなかった理由からいきます!
セキュリティ

SQLインジェクションのデモをする環境を構築する②

さて、引き続き環境構築をやっていきます。 少しずつでも進めていきたいと思いますので、頑張りましょう! 前回、DBの準備は終えたので、PHPのコンテンツ作成に行きましょう。 前回、DBの準備は終えたので、PHPのコンテンツ作成に行きましょう。
セキュリティ

SQLインジェクションのデモをする環境を構築する①

昨日の私は以下の勉強会で、スピーカーとして発表を行っていました。 [秋葉原]第17回ゼロから始めるセキュリティ入門 勉強会(発表・LT大歓迎) そこで、SQLインジェクション(以降SQLi)のデモを簡単に行いました。
セキュリティ

sqliのデモ用環境構築してました

以下の勉強会用のSQLインジェクション(以後SQLi)検証環境を絶賛準備中です。 [秋葉原]第17回ゼロから始めるセキュリティ入門 勉強会(発表・LT大歓迎) デモ用の環境が何とか構築できましたが結構詰まりました。 ただ、できない理由も理解でき、構築も終わったので良かったです。
セキュリティ

SSIインジェクションの検証③SSIインジェクションへの対策

前回の最後にディレクトリ内のファイル一覧や、「/etc/passwd」が表示されていましたが、なぜ表示されたのでしょうか? 結論から話すとOSコマンドの実行が行われていたからです。
セキュリティ

SSIインジェクションの検証②SSIインジェクションの検出

前回SSIが動作させる環境ができましたので、続いてSSIインジェクションを検出する方法をやっていきます。 なお、自分で管理しているサーバに対して、実施するようにしてください。 管理されていないサーバに実施した場合は犯罪になる可能性があります。
スポンサーリンク