【情報セキュリティ③】サイバー攻撃③(基本情報技術者)(情報セキュリティマネジメント)
ฝัง
- เผยแพร่เมื่อ 12 ก.ย. 2024
- 【次の動画】
• 【情報セキュリティ③】サイバー攻撃④(基本情...
【前回の動画】
• 【情報セキュリティ③】サイバー攻撃②(基本情...
基本情報技術者試験の対策動画です。
情報セキュリティ対策として、サイバー攻撃(クロスサイトスクリプティング、SQLインジェクション、ディレクトリトラバーサル、クリックジャッキング、ドライブバイダウンロードなど)について解説しています。
不明点などあればコメントをお願いします。
また、動画のリクエストもお待ちしています。
Twitterもやっているので、フォローしていただけると喜びます。
【Twitter】
/ takayuki______m
#クロスサイトスクリプティング
#SQLインジェクション
#ディレクトリトラバーサル
#基本情報技術者
#情報セキュリティ
0:00 クロスサイトスプリクティング
8:10 SQLインジェクション
17:59 ディレクトリトラバーサル
24:08 クリックジャッキング
25:41 ドライブバイダウンロード
26:20 練習問題
ありがとうございます
トラバーサルという文字を見て「罠」だと思ったのは内緒です
トラバサミと勘違いしました
動画ありがとうございます。
大変良い復習となりました。
ご体調は大丈夫ですか?
また動画を楽しみに待っております~
ありがとうございます!
体調はもう大丈夫です!
動画ありがとうございます。よく理解できます。SQLインジェクション攻撃で質問です。' ' OR '1'='1' は真というのは理解できました。しかし、ID='takayuki' においては、Database内に IDに該当する 本当のPWDが格納されていると思うのですが、 PW=真という状態になったとしても、なぜ、ログインできてしまうのかその原理がわからなかったです。'takayuki'に該当するPWDがあるのに、何故ログインできるのでしょう? そもそものところからわかっておらずすみません。
SQLを使わずに説明しているので、わかりにくくて申し訳ないんですが、
ここでは「ID='takayuki' AND PW='password'」のユーザを検索するようなSQLを想定しています。
この時、動画の中で言っているようなSQLインジェクションを行い、「ID='takayuki' AND (PW=' ' OR '1'='1')」のユーザを検索するように仕込みます。これは「ID='takayuki' AND 真」となり、ID='takayuki'が満たされるデータがあれば、該当データが検索できてしまいます。
つまり「ID='takayuki' AND PW=真」という状態にしようとしているのではなく、「ID='takayuki' AND 真」という状態にすることを狙っているわけです。