Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
www.opensquare.co.jp
株式会社OPENスクエア田中 昭造
2016年1月28日
第63回スクエアfreeセミナー
SQLインジェクションと戦う◯☓△
www.opensquare.co.jp
SQLインジェクションとは何だろう?
私も良く知りませんので、この機会に勉強してみました。
こんな環境でテストしてみました。
2
アプリケーションサーバDVWM
www.opensquare.co.jp
SQLインジェクション体験
デモアプリで実際にSQLインジェクション攻撃を行なって見ました
3
User IDに会員番号を入力すると姓名が表示される。
動画を御覧ください
www.opensquare.co.jp
SQLを注入して全ユーザを表示
4
動画を御覧ください
www.opensquare.co.jp
SQLを注入してユーザのパスワードを取得
5
動画を御覧ください
www.opensquare.co.jp
パスワードの復号
6
動画を御覧ください
www.opensquare.co.jp
SQLインジェクションと戦う◯☓△
7
アプリケーションサーバDVWM
◯☓△
LoadMasterのAFP機能でSQLインジェクション攻撃をブロックできました。
LoadMasterのAFP機能ではクロスサイトスクリプティング攻撃などもブロックできます。
Free LoadMaster(VLM)でもAFP機能を利用できます。
動画を御覧ください
www.opensquare.co.jp
サイバー攻撃対策は“知る”ことから
8
攻撃見えるくんはサイバー攻撃をリアルタイムに可視化する無料で利用できるサービスです。
www.opensquare.co.jp
ご清聴ありがとうございました。
株式会社OPENスクエア
田中 昭造
9