Web Security Lesson

Nessus Essentialsのクレデンシャルスキャンによりパッチ適用状況を確認してみよう

無料版Nessus Essentialsを用いたクレデンシャルスキャンの方法と結果の見方を説明します。

会員登録が混雑するとIDが重複してしまうサイトを作ってみた

報道によると、雇用調整助成金オンライン申請サイトが、不具合により、同時にシステムに登録するとIDが同じになったとのことです。この動画では、同時にユーザー登録すると、IDの重複が起こる現象をデモにて紹介します。

初めてのNessus: 徳丸本VMをNessusでプラットフォーム診断してみよう

前回の動画で導入したNessus Essentialsを用いて、徳丸本VM（WordPress含む）をプラットフォーム脆弱性診断してみます。

Nessusの無料版(Nessus Essentials)をインストールしてみよう

この動画では、Nessus Essentialsのインストール方法を説明します。

Digest認証のハッシュ値が漏洩すると直ちに不正ログインできる

HTTP認証の一種Digest認証がサーバーに保存したハッシュ値が漏洩すると、直ちに不正ログインできることを実験で確かめます。

Digest認証に対して中間者攻撃してみよう

HTTP認証の一種Digest認証に対して中間者攻撃をやってみます。

DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

データベースに保存されているカード情報をバックドア経由で盗み出すデモンストレーションです。今回はECサイトの管理者パスワードが弱かったという想定でバックドアを設置します。

視聴者からの質問に答えるよ、カード情報をサイトに保持するサイトは非保持化に逆行？

カード情報を保存する機能を提供するサイトは非保持化の考え方に逆行するのではないかという質問への回答です。

SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

ウェブサイトのデータベースに保存されているカード情報をSQLインジェクションにより盗み出すデモンストレーションです。

ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

ウェブサイトのログに保存されているカード情報を盗み出すデモンストレーションです。 今回は化石のような攻撃方法SSIインジェクションを用いました。