日時:2014年2月28日(金)13:30~16:30(徳丸の出番は15:50~16:30)
場所:マイナビルーム2F-T(東京都千代田区)
費用:無料(申し込みはこちら)
講演タイトル:加害者にならないためのWebサイト保護施策~最新の動向を踏まえて~
講演の中ではWebサイトが「加害者」になるシナリオを3種類ほどデモする予定です。
Webサイトが外部から攻撃を受けて、自サイトが「被害者」になるだけでなく、他社への「加害者」になってしまうシナリオは多数ありますが、最近の動向を踏まえて、某大手レンタルサーバー事業者で発生したと推測されているシンボリックリンク攻撃のデモをする予定です。但し、詳細のシナリオは公表されていないため、徳丸の創作によるものです。
シナリオをこっそりお教えしましょうw
- 某レンタルサーバーにタナカとスズキがサイトを構築している
- スズキは人気サイトであり攻撃者が狙っているが、こちらは外部から侵入できる脆弱性はない
- スズキの方はWordPressを利用している
- タナカの方では古いphpMyAdminを使っていて、外部から任意のスクリプトが実行できる
- 攻撃者はタナカ側に攻撃をしかけ、スズキサイト側にシンボリックリンクを貼る
- 攻撃者は上記シンボリックリンクを閲覧して、スズキのWordPress設定ファイルからMySQLのIDとパスワードを得る
- 攻撃者はタナカのphpMyAdminに対して、スズキ側のMySQLのIDとパスワードを使ってログインする
- 攻撃者はphpMyAdminを操作して、スズキ側コンテンツを書き換える
- これ以降、スズキ側コンテンツを閲覧した利用者はマルウェアに感染する
それでは、よろしくお願いいたします。
0 件のコメント:
コメントを投稿