XXE、SSRF、安全でないデシリアライゼーション入門3. 本日取り上げる脆弱性について • 今日は以下を紹介します – XML外部実体参照(XXE)攻撃 – サーバーサイド・リクエスト・フォージェリ(SSRF) – 安全でないデシリアライゼーション • これらを取り上げる理由 – XXEと安全でないデシリアライゼーションは、 OWASP Top 10 - 2017 で新たにランクインした – SSRFはセキュリティ界隈で非常に熱い – Capital Oneの事件 © 2016-2019 Hiroshi Tokumaru 3 4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾
