2023-01-01から1年間の記事一覧
最後のトピックはリバースエンジニアリングです。リバースエンジニアリングとはいったん何なのでしょうか。 Wikipediaで調べてみると、下記の様な説明になるそうです。 リバースエンジニアリング(英: reverse engineering)とは、機械を分解したり、製品の…
ではペネトレーションテストを続けていきましょう。 今回は前回よりも、現実世界で発生しうるものにしました。(本職のペネトレーションテスターから見るとツッコミどころはありますが、初心者向けということでご容赦ください。)では今回も下記リンクより仮…
次はペネトレーションテストについて学んでいきましょう。ペネトレーションテストは、侵入テストと日本語では呼ばれ、サーバーへの侵入を指すことが多いです。 サーバーへの侵入には様々な手法が用いられます。 先ほど学習したWebアプリケーションの脆弱性(…
次は、IDOR(安全でない直接オブジェクトの参照)です。 日本語名からは複雑な脆弱性に聞こえますが、とてもシンプルな脆弱性です。 シンプルがゆえに悪用されることが多い脆弱性でもあります。IDORは、Webアプリケーションの脆弱性の1つで、攻撃者がアクセ…
ではブルートフォース攻撃に移りましょう。 ブルートフォース攻撃は、サイバーセキュリティの中で原始的でありながら非常に有効な攻撃手法です。ブルートフォース攻撃とは、暗号や認証のセキュリティを破るための方法の1つで、文字通り「無差別な力」を使っ…
次はディレクトリトラバーサルについて学びましょう。ディレクトリトラバーサル(「パストラバーサル」とも呼ばれる)は、アプリケーション上で発生する脆弱性の1つで、攻撃者が制限されているはずのディレクトリ外のファイルやディレクトリにアクセスする能…
では続いてOSコマンドインジェクションに移りましょう。OSコマンドインジェクションは、アプリケーションに存在する深刻な脆弱性の1つです。攻撃者は外部から不正なOSコマンドを注入し、それを実行することが可能です。この攻撃手法ではシステム内で任意のコ…
では次にSQLインジェクションを見ていきましょう。SQLインジェクションは、不正にデータベースへのクエリを実行する攻撃手法です。通常、Webアプリの入力フォームなどからの入力値を悪用して実行します。 ユーザーからの入力値をそのままSQLクエリに組み込ん…
では実施にWebアプリケーション(以後:Webアプリ)を攻撃してみましょう。 まずはWebアプリの一番上にある「XSS(クロスサイトスクリプティング)」から行います。XSS(クロスサイトスクリプティング)とは、Webアプリの脆弱性の1つで、攻撃者が悪意のあるス…
ではこれから、僕が作成したWebアプリケーションへのハッキングを実際に行うことで、ハッキングの手法そして対策方法を学びましょう。 今回扱うWebアプリケーションは本カリキュラムのために作成したもので、脆弱性を攻撃するためだけの用途になります。 Web…
では環境を構築していきましょう。 この記事では、Windowsを前提に説明をしていきます。Macでも問題なく環境構築できるはずです。 今回は安全を期すため、ローカル環境の仮想マシン上にてハッキングを行います。 詳細が気になる方は別途調べてもらいたいので…
僕は2020年に「Mr.Robot」という、ハッカーが主人公のドラマを見てから、セキュリティエンジニアを目指しました。 そして現在、ホワイトハッカー/ペネトレーションテスター/セキュリティエンジニアなど様々な呼び名で呼ばれますが、サイバーセキュリティ専門…