YouTubeに動画『クレジットカード情報漏洩の手口の動向』他４本を公開しました

弊社代表取締役、徳丸浩がYouTubeに公式チャンネル『徳丸浩のウェブセキュリティ講座』に動画を新たに5本公開いたしました。

今後もさまざまな情報を公開してまいります。

第７弾
もっとも悪用されたPHPの脆弱性CVE-2012-1823を検証する

難易度：★★★★☆

PHPの脆弱性の中でもっとも悪用されたCVE-2012-1823を検証してみました。

この動画で学習できること
　・CVE-2012-1823が悪用できる原理
　・攻撃に悪用できるPHPの便利機能
　・徳丸本VMでは無効化されているCVE-2012-1823を有効化する方法

前提となる環境は徳丸本『体系的に学ぶ 安全なWebアプリケーションの作り方　第２版』の実習用ＶＭ
(オリジナルの環境で大丈夫です)

※ 古い脆弱性なので攻撃が成功することはまずないでしょうが、公開サイト等に攻撃を行うことは法律で禁止されています

もっとも悪用されたPHPの脆弱性CVE-2012-1823を検証する

第８弾
クレジットカード情報漏洩の手口の動向

難易度：★★☆☆☆

2018年6月に改正割賦販売法が施行され、クレジットカード情報の非保持化が法律で義務付けられました。しかし、それ以降もクレジットカード情報漏洩は減るどころかむしろ増加しています。
この動画ではECサイトからのクレジットカード情報漏洩手口の変遷について説明します。
また、今後の動画にて、各漏洩手口についてデモにて紹介する予定です。

クレジットカード情報漏洩の手口の動向

関連動画

第９弾
フォーム改ざんによりクレジットカード情報を盗むデモンストレーション（Type4）

難易度：★★★☆☆

クレジットカード情報を入力する画面に外部からJavaScriptを注入して、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2013年3月から使われているもので、現在のカード情報盗み出しの主流の手口です。
以下の記事ではType4と分類している方法です。
徳丸浩の日記：クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション（Type5）

関連動画

第１０弾
偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション（Type5）

難易度：★★★☆☆

偽造したクレジットカード情報入力画面に誘導することで、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2018年7月から使われているもので、現在のカード情報盗み出しの主流の手口の一つです。
以下の記事ではType5と分類している方法です。
徳丸浩の日記：クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション（Type5）

関連動画

第１１弾
ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

難易度：★★★☆☆

ウェブサイトのログに保存されているカード情報を盗み出すデモンストレーションです。
今回は化石のような攻撃方法SSIインジェクションを用いました。
SSIインジェクション自体は今やほとんど成功しないと思いますが、当然ながら悪用厳禁です。
ログファイルからの盗み出しは以下の記事ではType2と分類しているものですが、改正割賦販売法施行（2018年6月）後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記：クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

関連動画

今後もさまざまな情報を公開してまいります。
ぜひご覧ください。

動画の一覧はこちらから
YouTubeチャンネル：『徳丸浩のウェブセキュリティ講座』