Enviar búsqueda
Cargar
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
•
Descargar como PPTX, PDF
•
0 recomendaciones
•
1,009 vistas
OWASP Nagoya
Seguir
20181117 NKC DAY 2018 1日目 勉強会 一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
Leer menos
Leer más
Presentaciones y charlas públicas
Denunciar
Compartir
Denunciar
Compartir
1 de 18
Descargar ahora
Recomendados
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
ブラウザとWebサーバとXSSの話@Shibuya.xss
ブラウザとWebサーバとXSSの話@Shibuya.xss
Toshiharu Sugiyama
CSP Lv.2の話
CSP Lv.2の話
Yu Yagihashi
XSS再入門
XSS再入門
Hiroshi Tokumaru
体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia
今さら聞けないXSS
今さら聞けないXSS
Sota Sugiura
Recomendados
20190208 脆弱性と共生するには
20190208 脆弱性と共生するには
OWASP Nagoya
(A7)cross site scripting
(A7)cross site scripting
OWASP Nagoya
ブラウザとWebサーバとXSSの話@Shibuya.xss
ブラウザとWebサーバとXSSの話@Shibuya.xss
Toshiharu Sugiyama
CSP Lv.2の話
CSP Lv.2の話
Yu Yagihashi
XSS再入門
XSS再入門
Hiroshi Tokumaru
体系的に学ばないXSSの話
体系的に学ばないXSSの話
Yutaka Maehira
今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia
今さら聞けないXSS
今さら聞けないXSS
Sota Sugiura
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
今日から始めるXSS
今日から始めるXSS
llamakko_cafe
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
KageShiron
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
libinjection : SQLi から XSS へ by ニック・ガルブレス
libinjection : SQLi から XSS へ by ニック・ガルブレス
CODE BLUE
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu
XSSの傾向と対策
XSSの傾向と対策
Yusuke Sangenya
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
見つけた脆弱性について(cybozu.com Security Challenge)
見つけた脆弱性について(cybozu.com Security Challenge)
Masato Kinugawa
0511 lt
0511 lt
kataware
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
Yuichi Hattori
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
Reactjs
Reactjs
しくみ製作所
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Webセキュリティの実践のための攻防戦演習について
Webセキュリティの実践のための攻防戦演習について
Yuichi Hattori
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
Hiromu Shioya
Más contenido relacionado
La actualidad más candente
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
Owasp top10 HandsOn
Owasp top10 HandsOn
masafumi masutani
今日から始めるXSS
今日から始めるXSS
llamakko_cafe
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
KageShiron
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
Isao Takaesu
libinjection : SQLi から XSS へ by ニック・ガルブレス
libinjection : SQLi から XSS へ by ニック・ガルブレス
CODE BLUE
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
Isao Takaesu
XSSの傾向と対策
XSSの傾向と対策
Yusuke Sangenya
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
aki33524
見つけた脆弱性について(cybozu.com Security Challenge)
見つけた脆弱性について(cybozu.com Security Challenge)
Masato Kinugawa
0511 lt
0511 lt
kataware
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
雅太 西田
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
Yuichi Hattori
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
Tomoya Takezaki
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Isao Takaesu
Reactjs
Reactjs
しくみ製作所
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Shunsuke Taniguchi
Webセキュリティの実践のための攻防戦演習について
Webセキュリティの実践のための攻防戦演習について
Yuichi Hattori
La actualidad más candente
(20)
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
Owasp top10 HandsOn
Owasp top10 HandsOn
今日から始めるXSS
今日から始めるXSS
Webセキュリティ入門(xss)
Webセキュリティ入門(xss)
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 -
libinjection : SQLi から XSS へ by ニック・ガルブレス
libinjection : SQLi から XSS へ by ニック・ガルブレス
機械学習を使ったハッキング手法
機械学習を使ったハッキング手法
XSSの傾向と対策
XSSの傾向と対策
Djangoのセキュリティとその実装
Djangoのセキュリティとその実装
見つけた脆弱性について(cybozu.com Security Challenge)
見つけた脆弱性について(cybozu.com Security Challenge)
0511 lt
0511 lt
AVTOKYO2014 Obsevation of VAWTRAK(ja)
AVTOKYO2014 Obsevation of VAWTRAK(ja)
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Pythonを使った簡易診断スクリプトの作り方
Pythonを使った簡易診断スクリプトの作り方
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
AISECjp SAIVS(Spider Artificial Intelligence Vulnerability Scanner)
Reactjs
Reactjs
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
今夜分かるJSによるクリックジャッキング対策の迂回方法
今夜分かるJSによるクリックジャッキング対策の迂回方法
Webセキュリティの実践のための攻防戦演習について
Webセキュリティの実践のための攻防戦演習について
Similar a 20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
Hiromu Shioya
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
Daiki Ichinose
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
takahashi-yugo
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
Yuji Kazan
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
gomafu04
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
Isao Takaesu
CSRF脆弱性について
CSRF脆弱性について
Masaaki Kakimoto
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
Sen Ueno
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Sen Ueno
Basic vulnerability
Basic vulnerability
Net Kanayan
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Kiyotaka Kunihira
Lt talk 2017_0912
Lt talk 2017_0912
Kenta Togashi
Product managershouldask mvp
Product managershouldask mvp
Tanaka Yuichi
Proxy War
Proxy War
zaki4649
Similar a 20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
(15)
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
20090218 第5回「PhpによるWebアプリケーションのセキュリティ入門」
OWASP Top 10 2017 RC1について
OWASP Top 10 2017 RC1について
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
マルウェアに学ぶ Apache+phpセキュリティ(ネット公開版)
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
インストールマニアックスでOSSの脆弱性をたくさん見つけたよ
MBSD Cybersecurity Challenges 2018
MBSD Cybersecurity Challenges 2018
脆弱性診断データの活用例 - Webアプリケーション診断編 -
脆弱性診断データの活用例 - Webアプリケーション診断編 -
CSRF脆弱性について
CSRF脆弱性について
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
Basic vulnerability
Basic vulnerability
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Mackerel Day#2 チェック監視が救う!!エンジニア0カンパニー
Lt talk 2017_0912
Lt talk 2017_0912
Product managershouldask mvp
Product managershouldask mvp
Proxy War
Proxy War
Más de OWASP Nagoya
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
OWASP Nagoya
#24 prepare for_hands-on
#24 prepare for_hands-on
OWASP Nagoya
(A2)broken authentication
(A2)broken authentication
OWASP Nagoya
Developer tools
Developer tools
OWASP Nagoya
#23 prepare for_hands-on
#23 prepare for_hands-on
OWASP Nagoya
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya
Más de OWASP Nagoya
(17)
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Top 10 - 2021 Overview
OWASP Top 10 - 2021 Overview
#24 prepare for_hands-on
#24 prepare for_hands-on
(A2)broken authentication
(A2)broken authentication
Developer tools
Developer tools
#23 prepare for_hands-on
#23 prepare for_hands-on
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
Rethinking car security based on autonomous driving and advanced driving support
Rethinking car security based on autonomous driving and advanced driving support
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya_WordPress_Handson_1
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
WPSCanによるWordPressの脆弱性スキャン
WPSCanによるWordPressの脆弱性スキャン
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
20170909 第13回名古屋情報セキュリティ勉強会 LT
20170909 第13回名古屋情報セキュリティ勉強会 LT
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
1.
一般的な脆弱性の 概要・対策を知り、 ZAPで見つけてみよう! 宮城 正伸 Vulnerability Detected...
2.
Profile ・元 Webアプリケーション 脆弱性診断員 宮城 正伸 ・OWASP
Nagoya スタッフ ・Github たまに更新します ・得意な言語は PythonとPHP 2
3.
Agenda ・XSSの概要 ・XSSの実演 ・XSSの対策方法 ・OWASP ZAPでXSSを見つける ・認証不備の概要 ・認証不備の実演 ・認証不備の対策方法 ・OWASP ZAPで認証不備を見つける ・まとめ 3
4.
XSSとは? ・クロスサイトスクリプティングの略称 ・ユーザの入力値を適切に処理しないまま そのまま出力している場合に問題が発生 ・サーバに格納している値を適切に処理しないまま そのまま出力している場合に問題が発生 4
5.
XSSの怖いところ ・ユーザのセッション情報流出や、 個人情報の特定等も発生し得る点 ・自分は何もしてなくても、 「加害者」となる場合がある点 ・etc... 5
6.
XSSの怖いところ ・Youtube XSS攻撃事例 引用:http://www.itmedia.co.jp/enterprise/articles/1007/06/news018.html →不正な広告 →別サイトへリダイレクト →デマニュースによる混乱 6
7.
XSSの実演(一般) DEMO 7
8.
XSSの実装例(一般) 8
9.
XSSの実演(悪用) DEMO 9
10.
XSSの実装例(悪用) 10 脆弱なページ ②XSS発火! ①偽リンククリック ③Cookie情報表示 ④攻撃者へCookie送信
11.
XSSの対策方法 NG Case: OK Case: $user
= $_GET['user']; echo "ようこそ ". $user . "さん"; $user = htmlspecialchars($_GET['user']); echo "ようこそ ". $user . "さん"; ・ユーザからの入力値を信用しない! ようこそ<script>alert(1)</script>さん ようこそ<script>alert(1)</script>さん 11
12.
OWASP ZAPで探す方法 DEMO 12
13.
認証不備とは? ・認証設定が適切になされていない状況を指す →どんな状態のことを言うのか? ・単要素認証のみの認証機構等 →OWASP Top10 2017では非推奨 13
14.
認証不備の怖いところ ・関係者以外知らないはずのURLを・・・ →思わぬところから情報漏洩する可能性が ・パスワードリスト攻撃、辞書攻撃、 ジョーアカウント攻撃等に脆弱 →他のサイトでも使いまわしているID/PASSで 突破される危険性 14
15.
認証不備の実演 辞書攻撃ツールでWebアクセスを試行 15
16.
認証不備の実装例 認証失敗時、「IDが違います」や 「パスワードが違います」というのはNG 16
17.
認証不備の対策方法 ・認証失敗時のメッセージ ・アカウントロック ・多要素認証機構を導入 →親切なのは考えもの →外部の連絡手段で復旧等 →ワンタイムトークン、生体認証等 17
18.
まとめ 脆弱性の概要を知り、対策方法を知ること! →問題解決への近道 ツールの機能を最大限活用する →自動でできるところ、効率的なところ 自分が攻撃者ならどんな情報を盗むか?を考える →守るべきものを明確に 18
Descargar ahora