www.opensquare.co.jp

株式会社OPENスクエア田中 昭造

2016年1月28日

第63回スクエアfreeセミナー

SQLインジェクションと戦う◯☓△

www.opensquare.co.jp

SQLインジェクションとは何だろう？

私も良く知りませんので、この機会に勉強してみました。

こんな環境でテストしてみました。

2

アプリケーションサーバDVWM

www.opensquare.co.jp

SQLインジェクション体験

デモアプリで実際にSQLインジェクション攻撃を行なって見ました

3

User IDに会員番号を入力すると姓名が表示される。

動画を御覧ください

www.opensquare.co.jp

SQLを注入して全ユーザを表示

4

動画を御覧ください

www.opensquare.co.jp

SQLを注入してユーザのパスワードを取得

5

動画を御覧ください

www.opensquare.co.jp

パスワードの復号

6

動画を御覧ください

www.opensquare.co.jp

SQLインジェクションと戦う◯☓△

7

アプリケーションサーバDVWM

◯☓△

LoadMasterのAFP機能でSQLインジェクション攻撃をブロックできました。

LoadMasterのAFP機能ではクロスサイトスクリプティング攻撃などもブロックできます。

Free LoadMaster（VLM)でもAFP機能を利用できます。

動画を御覧ください

www.opensquare.co.jp

サイバー攻撃対策は“知る”ことから

8

攻撃見えるくんはサイバー攻撃をリアルタイムに可視化する無料で利用できるサービスです。

www.opensquare.co.jp

ご清聴ありがとうございました。

株式会社ＯＰＥＮスクエア

田中 昭造

9