機密確保についてのセミナー
セミナー内容の中に技術、コディングスキル、コミュニケーション以外機密確保も関心され、中心にする。
客先が満足することが重要なことだ。その中、知識と個人情報のセキュリティ、データ機密保護、アプリコントロール維持などを確保することだ。
客先が満足することが重要なことだ。その中、知識と個人情報のセキュリティ、データ機密保護、アプリコントロール維持などを確保することだ。
主な問題点
1. SQL Injection概要
- よく発生のバグ
- SQLクエリーに入力確認コードがなし
- 入力情報定義が不明
- データベースの内にセキュリティエラー
- Blind SQL injection
- クエリー条件の値変更
- 各種の侵入
- 登録の認証エラーに通じて侵入する
- SELECTクエリーを利用し、侵入する
- INSERTクエリーを利用し、侵入する
- Stored-proceduresクエリーを利用し、侵入する
2. Cross site Scriptingとは?
- Cross Site Scripting侵入の例
- 各ウェブの開き口をどうすれば確認できるか
- Cross Site Scripting侵入の防止方法
セミナーの後、全員はアプリ侵入手順を分かった。例を出してハッカーのやり方を再現した。例えばアプリ情報検索、セキュリティエラーの調査、システムやアプリに侵入の試作、侵入実装(侵入用ツールアップロード、権限拡大など)、データベース侵入(情報取出す、データ破壊など)だ。体験した後、経験を取って、開発に応用する。
