Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディング
crehacktive
情報セキュリティ入門者とWeb開発者のためのWebハッキング入門講義!今回の講義をはじめ、Webハッキングを楽しく始めましょう!
Basic
Penetration Testing, Injection
ファイル アップロード脆弱性高度攻撃手法 PART2-1:ファイル アップロード ライブラリ分析と攻撃方法論
ウェブハッキングの最終兵器!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2「1編」の教育では、より高度な上級手法について説明します。
学習した受講者のレビュー
こんなことが学べます
Java ファイル アップロード ライブラリへの理解
Java ファイル アップロード ライブラリに対する潜在的なセキュリティ脅威
ファイルアップロードの脆弱性、高度な技術まで!
どこでも見づらい核心をお届けします。
ファイルアップロードの脆弱性攻撃の講義
いよいよ、シリーズ最後のパート!
📖 模擬ハッキング実務者が知らせる、ファイルアップロードの脆弱性攻撃シリーズ
シリーズで学ぶ内容を広げる
PART(1) : 基礎/実務攻撃/セキュアコーディング
ファイルアップロードの脆弱性攻撃で最も重要な内容である、従来知られている方法とまったく異なるアプローチの攻撃プロセスについて詳しく扱う教育であり、攻撃の基礎知識から実務で使用される迂回技術と実務事例分析、そして様々な対応方案とセキュアコーディングを学ぶことができます。以後行われる教育の基本となる必須教育です。
PART(2):高度な攻撃技術/実務深化分析現在の講義
PART(1)で扱われていない高度な攻撃手法とWebファイアウォール(Web Application Firewall)バイパス技術を教育し、実務環境で使用されたテクニカルな手法を実習を通じて分析する教育です。
SKILL-UP:ウェブシェル難読化技術
今日のWeb環境では、Webシェル検出ソリューションを使用しているところが徐々に増えています。そのため、実務者にとっては必須の教育になります。
ファイルアップロードの脆弱性攻撃テクニックと実務事例の分析: PART 2
ファイルアップロードの脆弱性講義を完了する最後の部分!
本講義は、「模擬ハッキング実務者が知らせる、ファイルアップロードの脆弱性攻撃技術と実務事例分析:PART 1」講義の次の編「Part 2」講義です。
ファイルアップロードの脆弱性攻撃パート2は合計3つに分かれており、各トピックは次のとおりです。
このレッスンはパート2の「第1編」で、「ファイルアップロードライブラリの分析と攻撃方法論」のトピックについて説明します。
✅ ファイルアップロードの脆弱性攻撃 Part 1 - Part 2 の違い
- パート1は、ファイルアップロードの脆弱性の概念と動作原理、攻撃方法、実践例、およびセキュアコーディングについて説明しています。 (基本概念と一般理論)
- パート2は、ファイルアップロードの脆弱性攻撃の一般的な攻撃メカニズムを超えて、特定の環境で発生する可能性のあるさまざまな攻撃方法論について説明します。
どこでも聞くことができない内容
講義に込めました!
クリ核Webハックシリーズを聴いています。
今日、Webハッキングを学ぶためのさまざまなルートがあります。 Inflearnのようなオンラインレッスンプラットフォーム、オフラインレッスンを聞くことができる学園、検索エンジンなど、私たちがよく見ているルートでは、ほとんどの一般的なコンテンツを中心に扱います。
しかし、本講義は異なります。 「どこでも聞けない内容」と自負します!
ファイルアップロードの脆弱性攻撃 Part 2-1
学習内容を確認してください!
💡本講義はPart 2の1編で、 「ファイルアップロードライブラリ分析と攻撃方法論」を取り上げます。
安全だと知られているアップロード検証ロジック、果たして安全でしょうか?
以下のソースコードは、ファイルアップロードの脆弱性から安全であることが知られているソースコードです。それでは、本当に安全なコードが正しいでしょうか?
... String path = request.getRealPath("/upload"); MultipartRequest multi = new MultipartRequest(request, path, 1024*10*10, "UTF-8"); Enumeration formNames = multi.getFileNames(); while(formNames.hasMoreElements()) { String param = (String)formNames.nextElement(); String uploadFile = multi.getFilesystemName(param); int extOffset = uploadFile.lastIndexOf("."); String fileExt = uploadFile.substring(extOffset+1).toLowerCase(); if (!fileExt.equals("jpg") && !fileExt.equals("png") && !fileExt.equals("gif")) { File fp = new File(path, uploadFile); fp.delete(); out.println(“ "); return; } } ...<script> alert(‘잘못된 확장자’);history.back(-1);</script>... String path = request.getRealPath("/upload"); MultipartRequest multi = new MultipartRequest(request, path, 1024*10*10, "UTF-8"); Enumeration formNames = multi.getFileNames(); while(formNames.hasMoreElements()) { String param = (String)formNames.nextElement(); String uploadFile = multi.getFilesystemName(param); int extOffset = uploadFile.lastIndexOf("."); String fileExt = uploadFile.substring(extOffset+1).toLowerCase(); if (!fileExt.equals("jpg") && !fileExt.equals("png") && !fileExt.equals("gif")) { File fp = new File(path, uploadFile); fp.delete(); out.println(“ "); return; } } ...
いいえ。対応するソースコードは「脆弱なソースコード」です。
このコードが脆弱な理由とその攻撃方法については、パート2-1のレッスンで詳しく説明します。
もっと学びましょうか? 📚
ファイルアップロードライブラリ固有のケースについて
各ファイルアップロードライブラリについて分析し、発生する可能性のある潜在的なセキュリティ脅威、およびさまざまなケースについて説明します。
セキュリティ脅威による方法論と実践
さまざまなケースに対して潜在的なセキュリティ脅威を見て、攻撃の実践を進めます。
正解を教える講義ではありませんが、
視点を広げてくれる講義です!
「ファイルアップロードの脆弱性第2部」は、さまざまな環境に対するファイルアップロードの脆弱性攻撃を成功させるための3つの講義で構成されています。しかし、正解を教えてくれる講義ではありません。この講義を受講しても、すべての環境でファイルアップロードの脆弱性攻撃に成功するわけではありません。
本講義の目標は正解を知らせるのではなく、視点を広げてくれる講義です。さまざまな環境で脆弱性が発生する可能性があることを学習すると、「ああ、これも試してみることができますね!」という覚醒を得ることになり、さらに今後の診断にも様々な環境が存在することを「知って」分析できます。これを知って分析することと知らず、分析することは天と地の違いです。
今回の講義を通じて、ウェブハッキングの視点を確実に正し、より高いレベルであなたの実力を引き上げることができる基礎を固めることを願っています!
予想される質問 Q&A 💬
Q. 講義受講前に知っておくべき知識はありますか?
「ファイルアップロードの脆弱性」について理解しておく必要があります。さらに、 パート1で取り上げていることを知っていなければ、スムーズにパート2を受講することができるようです。もちろん、「ファイルアップロードの脆弱性」に対する理解度が高い方は受講に問題にならないようです。
Q. 受講対象者はどうなりますか?
なるべく「実務者」の方が受講されることをお勧めします。あるいはウェブハッキングについての理論を十分に学んだ方、就職準備生の方も受講できます。
Q. 「ファイルアップロードの脆弱性攻撃 Part 1」を必ず受講する必要がありますか?
受講することをおすすめします。ファイルアップロードの脆弱性について理解していても、パート1の理解がない場合は、パート2の内容のうち理解できない部分があります。したがって、実務者の方でも、パート1を先に受講してからパート2を受講することをお勧めします。
Q. Part 2が3編に分かれていましたが、すべて受講しなければなりませんか?
必ず3便全て受講する必要はありません。しかし、様々な実務環境に対する攻撃方法論を知りたい場合は、3本すべて受講していただくことを「積極的」お勧めします。
Q. Part 2は3編順に受講しなければなりませんか?
ぜひそんな必要なく、欲しいものを中心に先に受講してもいいです。ただし、3編の講義を順番に製作したため、どうしても順次受講することが流れ上良いと判断されます。
受講前の注意 📢
このレッスンでは、Web技術とWebハッキングの理解がある状態で受講することをお勧めします。そして、Cree核のWebハッキング講義シリーズの中で、「ファイルダウンロードの脆弱性攻撃」、「ファイルアップロードの脆弱性攻撃Part 1」の講義を最初に受講することをお勧めします。
必須視聴講義
こんな方に
おすすめです
学習対象は
誰でしょう?
実務で模擬ハッキングや脆弱性診断を行っている実務者
就職準備生
前提知識、
必要でしょうか?
Web技術
Web ハッキングの基礎
ファイルダウンロード脆弱性知識
ファイル アップロードの脆弱性に関する知識
26,179
受講生
1,389
受講レビュー
502
回答
4.9
講座評価
18
講座
안녕하세요, 크리핵티브입니다.
다년간 다양한 웹 서비스를 진단하고 연구한 경험을 바탕으로, 실무에 바로 적용 가능한 지식을 인프런 플랫폼에서 공유해오고 있습니다.
그리고 웹 해킹 기초를 체계적으로 다룬 『크리핵티브의 한 권으로 끝내는 웹 해킹 바이블』을 집필했습니다. 기초가 부족한 분들께는 이 책으로 학습을 시작하실 것을 권합니다.
『크리핵티브의 한 권으로 끝내는 웹 해킹 바이블』 저자
이메일 : crehacktive3@naver.com
カリキュラム
全体
31件 ∙ (2時間 24分)
講座資料(こうぎしりょう):
授業資料
5. 概要
02:57
7. 環境構築
03:04
9. jd-guiのダウンロードと実行
03:41
10. ライブラリ分析
16:09
12. 潜在的なセキュリティ脅威(1)
05:12
14. 潜在的なセキュリティ脅威(2)
01:10
16. 潜在的なセキュリティ脅威(3)
06:44
18. 潜在的なセキュリティ脅威(4)
02:11
20. 安全なライブラリの使い方
01:49
21. 整理
03:53
講座掲載日:
最終更新日:
受講レビュー
全体
4件
5.0
4件の受講レビュー
lohasworld受講レビュー 4
∙
平均評価 5.0
- bryan
受講レビュー 8
∙
平均評価 4.9
- ygchoi7133707
受講レビュー 10
∙
平均評価 5.0
- rjswn1291
受講レビュー 9
∙
平均評価 5.0
¥5,290
crehacktiveの他の講座
知識共有者の他の講座を見てみましょう!
![ファイル アップロードの脆弱性 高度な攻撃手法 PART2 [統合版]Course Thumbnail](https://cdn.inflearn.com/public/courses/333012/cover/12bd40e1-1e17-493a-81b9-64ac5fed558e/333012.png?f=avif&w=420)
似ている講座
同じ分野の他の講座を見てみましょう!
