PCI DSSなどのセキュリティ基準ではデータベースの暗号化を求めているケースがあり、また個人情報保護の目的でデータベース暗号化を求めている場合が多いです。 それでは、データベースの暗号化は実際にはどうすればよいか、代表的な3方式について、概要とメリット・デメリットを説明します。 今回の目玉: データベースを取り巻く脅威について、簡単な脅威分析を行い、どの脅威が各方式で守れるかを解説します。 データベースに対するSQLインジェクションやリモートコード実行(RCE)によりデータベースの情報が漏洩する方法については、以下の動画でデモンストレーションしています。 ・SQLインジェクションによりクレジットカード情報を盗むデモンストレーション https://www.youtube.com/watch?v=Vvgmeu128ak ・DBに保存されたクレジットカード情報をバックドア経由で

お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。想定する脆弱性として認可制御不備になります。「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。 メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。 ※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です 参考: お名前.com Naviで発生した事象につきまして https://www.onamae.com/news/domain/20200603_1/ 実習シナリオ、スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/mast

HTTP認証の一種Digest認証が、サーバーに保存したハッシュ値が漏洩すると、直ちに不正ログインできることを実験で確かめます。 前編: https://www.youtube.com/watch?v=fpdQAEjgxOc デモ環境（実習もできます） 徳丸本2版の実習用VM Firefox OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part2 0:26 Digest認証のおさらい 1:06 ブラウザとサーバーにおけるハッシュ値の計算方法 2:16 攻撃のイメージ 2:56 攻撃用スクリプト 3:56 デモ 6:12 Digest認証のパスワード情報保護について 7:55 Basic認証との比較 9:06 まとめ 9:35 徳丸浩へのお仕事の依頼方法

HTTP認証の一種Digest認証に対して中間者攻撃をやってみます。Digest認証があまり使われない理由が納得できるかもしれませんよ。 続編: https://www.youtube.com/watch?v=aGS26pW2gY4 デモ環境（実習もできます） 徳丸本2版の実習用VM OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part1 目次 0:28 Basic認証の説明（復習） 1:10 Digest認証の説明 3:15 徳丸本にDigestの環境を設定する 6:09 Digest認証のデモ 7:25 Digest認証は中間者攻撃に脆弱 7:57 想定環境の説明 8:35 Digest認証に対する中間者攻撃のデモ 10:30 まとめ 12:32 徳丸

Capital Oneからの大規模な個人情報漏洩事故はSSRF攻撃によるものでした。AmazonはEC2のSSRF攻撃緩和策としてIMDSv2を発表しました。このビデオではIMDSv2によるSSRF防御とその限界について説明します。 スライド https://www.slideshare.net/ockeghem/introduction-to-imdsv2 ブログ記事 https://blog.tokumaru.org/2019/12/defense-ssrf-amazon-ec2-imdsv2.html