Webセキュリティの小部屋

先日(2020年2月21日)に、社内のとある会議でSQLインジェクションについてプレゼンしてきたのですが、割合と好評だったようなのでここでも公開してみます。

スライドのタイトルをクリックすると拡大したスライドで見ることができます。

SQLインジェクションから見るWebアプリケーションセキュリティ

実際には、SQLインジェクションの脆弱性があるとアカウント情報が漏洩して、システムが乗っ取られるまでデモまで行ったのですが、そこは資料に含まれていません。

ですが、判例からもSQLインジェクションの脆弱性を持ったサービスを公開することのリスクが分かるのではないかと思います。

追記:

デモの内容を記事にしました。

Webセキュリティの小部屋

SQLインジェクションの具体例を知って怖さを実感しよう

https://www.websec-room.com/2020/08/19/3601

はじめにSQLインジェクションという脆弱性は危険だとよく言われますが、具体的にどのような怖さがあるのかは具体例を見ないと実感できないと思います。この記事では、「箱庭BadStore.net」という脆弱性が組み込まれたWebアプリケーションに対して、実際にSQLインジェクションの脆弱性を攻撃し、アカウント情報を漏洩させ管理者としてログインする例をご紹介します。箱庭BadStore.netについては、以下の記事をを参照してください。SQLインジェクションとはSQLインジェクションの具体例を見る前に、SQLインジェクションとはなにか簡単に...

カテゴリー:ブログ