Web開発者と情報セキュリティの入門者が必ず知っておくべきWebハッキング&セキュアコーディング
crehacktive
情報セキュリティ入門者とWeb開発者のためのWebハッキング入門講義!今回の講義をはじめ、Webハッキングを楽しく始めましょう!
初級
Penetration Testing, Injection
ファイルアップロード脆弱性高度な攻撃手法 PART2 [統合編]
ウェブハッキングのラスボス!ファイルアップロード脆弱性攻撃手法!パート1に続き、パート2 '1編' の教育として、より深化した高級技法に関する内容を扱います。
(4.9)受講レビュー 11件
受講生 123名
難易度 中級以上
受講期間 無制限
Penetration Testing
Penetration Testing
Java
Java
Web Shell
Web Shell
Offensive Security
Offensive Security
Penetration Testing
Penetration Testing
Java
Java
Web Shell
Web Shell
Offensive Security
Offensive Security
受講後に得られること
Javaファイルアップロードライブラリに関する理解
Javaファイルアップロードライブラリに関する潜在的なセキュリティ脅威
ウェブファイアウォール(WAF)に関する理解
ウェブパッチウォール(WAF)回避技術
多様な環境に対する理解
様々な環境におけるウェブシェルアップロード攻撃の手法
他では聞くことのできない内容を
講義に込めました!
今日、ウェブハッキングを学べるさまざまなルートがあります。Inflearnのようなオンライン講義プラットフォーム、オフライン講義を受講できる学院、そして検索エンジンなど、私たちがよく目にするルートでは、そのほとんどが一般的な内容を中心に扱われがちです。しかし、本講義は違います。'どこでも聞くことができない内容'であると自負しています!
ファイルアップロード脆弱性攻撃 Part 2-1
学習内容を確認してみましょう!
安全だと知られているアップロード検証ロジック、果たして安全でしょうか?
以下のソースコードは、ファイルアップロードの脆弱性に対して安全であると言われているソースコードです。では、本当に安全なコードなのでしょうか?
...
String path = request.getRealPath("/upload");
MultipartRequest multi = new MultipartRequest(request, path, 1024*10*10, "UTF-8");
Enumeration formNames = multi.getFileNames();
while(formNames.hasMoreElements()) {
String param = (String)formNames.nextElement();
String uploadFile = multi.getFilesystemName(param);
int extOffset = uploadFile.lastIndexOf(".");
String fileExt = uploadFile.substring(extOffset+1).toLowerCase();
if (!fileExt.equals("jpg") && !fileExt.equals("png") && !fileExt.equals("gif")) {
File fp = new File(path, uploadFile);
fp.delete();
out.println(“<script>alert(‘不正な拡張子’);history.back(-1);</script>");
return;
}
}
...いいえ。該当のソースコードは「脆弱なソースコード」です。
このコードが脆弱な理由、およびこれに対する攻撃方法については、Part 2-1の講義で詳しく扱います。
もっと詳しく見てみましょう。📚
ファイルアップロードライブラリ別のケース理解
各ファイルアップロードライブラリについて分析し、発生し得る潜在的なセキュリティ脅威、および多様なケースについて扱います。
ファイルアップロード脆弱性攻撃 Part 2-2
学習内容を確認しましょう!
Webパブリックファイアウォール(WAF)回避手法のケーススタディ
様々なウェブブラウザの回避手法について学び、該当する攻撃手法の実習を行います。
ファイルアップロード脆弱性攻撃 Part 2-3
学習内容を確認してみましょう!
JEUSとWebSphereで発生したディレクトリトラバーサル(パッシング)脆弱性を詳しく扱い、その脆弱性が今日なぜ脅威となるのか、そしてどのように攻撃できるのかという攻撃手法について詳しく見ていきます。(IBM WebSphere CVE-2020-4163)
その他、多様な環境やケースについて詳しく見ていきます。
こんな方に
おすすめです
学習対象は
誰でしょう?
現場で模擬ハッキングや脆弱性診断を行っている実務者
就職準備生
前提知識、
必要でしょうか?
ウェブ技術
ウェブハッキングの基礎
ファイルダウンロード脆弱性の知識
ファイルアップロード脆弱性の知識
こんにちは
crehacktiveです。
27,154
受講生
1,503
受講レビュー
509
回答
4.9
講座評価
18
講座
こんにちは、クリーハクティブ(crehacktive)です。
長年にわたり様々なウェブサービスを診断・研究してきた経験を活かし、実務ですぐに活用できる知識をInflearn(インフラン)プラットフォームで共有しています。
そして、ウェブハッキングの基礎を体系的に扱った『クリハクティブの一冊で終わらせるウェブハッキングバイブル』を執筆しました。基礎が不足している方には、この本で学習を始めることをお勧めします。
メール : crehacktive3@naver.com
カリキュラム
全体
72件 ∙ (6時間 10分)
講座資料(こうぎしりょう):
授業資料
7. 概要
02:57
9. [ライブラリ1]環境構築
03:04
12. [ライブラリ1]ライブラリ分析
16:09
23. [ライブラリ1]まとめ
03:53
24. [ライブラリ2]環境構築
03:20
34. Webファイアウォールの理解
06:58
講座掲載日:
最終更新日:
受講レビュー
全体
11件
4.9
11件の受講レビュー
sonasup3719受講レビュー 8
∙
平均評価 4.4
- hskim0001
受講レビュー 4
∙
平均評価 5.0
- tierra819110
受講レビュー 4
∙
平均評価 5.0
- bvjm190447
受講レビュー 5
∙
平均評価 5.0
- kangk
受講レビュー 4
∙
平均評価 5.0
crehacktiveの他の講座
知識共有者の他の講座を見てみましょう!
似ている講座
同じ分野の他の講座を見てみましょう!
![[エデュウィルホワイトハッカー]ゲームハッキング講義サムネイル](https://cdn.inflearn.com/public/courses/329746/cover/6e390196-7c19-4a64-88db-69745dd95ccd/329746-eng-original.png?w=420)
