まったり技術ブログ

Technology is power.

セキュリティ

Security-JAWSの資料まとめ【第5~9回】

講演資料・スライド 第9回 ◆ 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース from Hibino Hisashi www.slideshare.net ◆ Security JAWS 【第9回…

XSSI(Cross-Site Script Inclusion)攻撃とは

今回はWebセキュリティのお話です。 とある機会にXSSI(Cross-Site Script Inclusion : クロスサイト・スクリプト・インクルージョン)攻撃というワードが話に出てきて、その攻撃が正直分からず困惑してしまったので、その攻撃について調べてみました。 結論…

SQLインジェクション体験ツール『SQLI-LABS』で遊ぶ

今回使ってみた「SQLI-LABS」には65種類(問題一覧からは75問あるように見えたが404だった...)のSQLiを学べるらしいので早速遊んでみました。 動作DBはMySQLです。 github.com 環境構築 インストール インストールは非常に簡単で、リポジトリをWebサーバ上の…

Sambaの脆弱性〜CVE-2017-7494をやってみる〜

5月24日に公開された、ファイル共有によく利用されるSambaの脆弱性「CVE-2017-7494」を実際に構築・PoCでの検証を行ってみます。 概要・対策に関しては、下記の記事が参考になる。 CVE-2017-7494 - Red Hat Customer Portal oss.sios.com

ボタンを重ねない『クリックジャッキング』の話

Trap Site 2017年度に入りましたが、昔ながらのクリックジャッキングの話 『クリックジャッキング』ってなんぞやという方は下の記事が大変解りやすいかと。 blog.tokumaru.org