No.14
難易度
★★☆☆☆
Web Security Lesson
徳丸浩のウェブセキュリティ講座
データベースに保存されているカード情報をバックドア経由で盗み出すデモンストレーションです。
今回はECサイトの管理者パスワードが弱かったという想定でバックドアを設置します。
ログファイルからの盗み出しは以下の記事ではType3と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています
クレジットカード情報を入力する画面に外部からJavaScriptを注入して、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。
偽造したクレジットカード情報入力画面に誘導することで、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。
ウェブサイトのログに保存されているカード情報を盗み出すデモンストレーションです。 今回は化石のような攻撃方法SSIインジェクションを用いました。
ウェブサイトのデータベースに保存されているカード情報をSQLインジェクションにより盗み出すデモンストレーションです。