田中 勇也 wrote a new post, 脆弱性の種類 ディレクトリトラバーサル 1年 8か月前
ディレクトリトラバーサルについて説明していきます。
■概要
Webアプリケーションには外部からのパラメータにファイル名を直接指定しているものがありますが、その実装に不備がある場合、攻撃者に非公開ディレクトリにアクセスされる可能性があります。
ディレクトリを横切る(トラバース)ということで「ディレクトリトラバーサル」と呼びます。
※パラメータとは
URLの末尾部分「?」以降の文字列で、サーバに情報を送信する際に[…]
田中 勇也 wrote a new post, 脆弱性の種類 クロスサイトリクエストフォージェリ 1年 9か月前
クロスサイトスクリプティングと名前が似ているクロスサイトリクエストフォージェリについて説明していきます。
■概要
Webアプリケーションにはサービス提供時にログイン機能を設けているものがありますが、ログインしたユーザからのリクエストについて、利用者が意図したリクエストであるかどうかを判別せずにそのままリクエストを受け入れてしまうものがあります。
そのようなアプリケーションは攻撃者からの罠を経由した悪意あるリクエストを[…]
田中 勇也 wrote a new post, 脆弱性の種類 OSコマンドインジェクション 1年 10か月前
SQLインジェクション、クロスサイトスクリプティングほど有名ではありませんが、同等以上に危険性の高いOSコマンドインジェクションについて説明していきます。
■概要
Webアプリケーションはユーザからの様々な入力情報を処理し、Webページとして出力するものがあります。
OSコマンドインジェクションは、不正な入力を行うことによって、Webサーバ側で想定していない動作をさせる攻撃です。
ここでの不正な入力とは、プログラム[…]
田中 勇也 wrote a new post, 脆弱性の種類 クロスサイトスクリプティング 1年 11か月前
前回のSQLインジェクションに続き、Webアプリケーションの中で最も有名な脆弱性の一つであるクロスサイトスクリプティングについて説明していきます。
■概要
Webアプリケーションはユーザからの様々な入力情報を処理し、Webページとして出力するものがあります。
その際、Webページの出力処理に不備があるとスクリプトを実行してしまう恐れがあります。
攻撃者はこの不備を利用して、ユーザに悪意あるスクリプトを実行させようと[…]
田中 勇也 wrote a new post, 脆弱性の種類 SQLインジェクション 2年前
Webアプリケーションの中でも最も有名な脆弱性の一つであるSQLインジェクションについて説明していきます。
■概要
多くのWebアプリケーションはデータベースと連携し、ユーザからの入力情報を基にSQLを組み立てDBMS経由でデータベースへ送信します。
その際、適切な対策が施されていないと攻撃者からの悪意あるリクエストによって不正なSQLを送信し、本来意図しない操作をされてしまう可能性があります。
■想[…]
田中 勇也 wrote a new post, 脆弱性診断 脆弱性の種類 2年 1か月前
前回、脆弱性診断の診断実施後の対応について述べました。
今回は脆弱性の種類について説明していきます。
脆弱性は以下のようなものがあります。
・インジェクション系
SQLインジェクション
コマンドインジェクション
クロスサイトスクリプティング
・認証系
認証回避
ログアウト機能の不備や未実装
脆弱なパスワードポリシー
復元可能なパスワード保存
パスワードリセットの不備
・認可制御の不備・[…]
田中 勇也 wrote a new post, 脆弱性診断 診断実施後の対応 2年 2か月前
前回、脆弱性診断の診断実施について述べました。
今回は脆弱性診断の実施後の対応について説明していきます。
■報告書作成
前回の診断実施で得た診断結果、証跡を元に報告書を作成します。
概要で大まかな結果を記載し、診断結果詳細で証跡を張り付けて信憑性を確保します。
■報告会の実施
お客様と日程調整して、報告会を実施します。
事前に報告書は送付しているため、全文を読むのではなく概要から危険度の高い脆弱性を中心に[…]
田中 勇也 wrote a new post, 脆弱性診断 診断実施 2年 3か月前
前回、脆弱性診断の診断前の準備について述べました。
今回は脆弱性診断の診断実施について説明していきます。
以下のような流れで診断を実施していきます。
■対象サイト内の巡回
診断対象となる画面を巡回し、診断にあたって支障となりそうな箇所をあらかじめ洗い出しておきます。
必要に応じて顧客担当者へ連絡し、進捗に影響がないように問題点を解決してもらうようにします。
■自動診断、手動診断
自動診断ツールを用いて[…]
田中 勇也 wrote a new post, 脆弱性診断 診断前の準備 2年 4か月前
前回、脆弱性診断の流れについて述べました。
今回は脆弱性診断の診断前の準備について説明していきます。
■見積
診断対象を明確にするために、見積を実施します。
見積にあたって画面遷移図やサイトマップなどを顧客から送付してもらったり、実際にWebサイトができている場合にはブラウザによる遷移とパラメータ数を確認して算出したりします。
WebAPIの診断も依頼されることがあり、その際にはマニュアルを送付してもらいます。[…]
田中 勇也 wrote a new post, フリーランスの仕事の取り方 2年 7か月前
初めまして。
システムエンジニアとして、ネットワークやセキュリティ系の業務を主に担当してきました。
今回は、フリーランスのシステムエンジニアとしての仕事の取り方について3パターン説明していきます。
• クラウドソーシングの利用
一番お手軽なパターンです。
「ランサーズ」や「クラウドワークス」といったサービスを利用し、案件を選んで応募ができますが、単価は安くなりがちです。
• フリーランスエージェントによる案[…]