Web サーバーのハッキングと Web アプリケーションのセキュリティ |第10章 |エピソード2023 年 10 月

開いているポートの特定を過ぎると、Web アプリケーションのハッキングのプロセスが始まります。このエピソードでは、PHP や JavaScript から ODBC/ADO を介したデータベース接続まで、現代の Web を強化する動的コンポーネントのカーテンを引き戻します。当社は、動的フォームやサーバーサイド スクリプティングなどの開発者の設計上の選択が、どのようにして攻撃者が悪用する脆弱性を意図せず作成するかを分析し、これらの重要なインターフェイスをテストして保護するためのロードマップを提供します。ソース資料に直接取り組み、AI を活用した学習ツールで知識をテストします: https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Dr. Joseph H. Schuessler |タールトン州立大学情報システム教授 |品質問題 (QM) マスターレビューア |効果的な指導における ACUE Advanced 認定。教科書参照: Wilson, RS、Simpson, MT、および Antill, N. (2022)。実践的な倫理的ハッキングとネットワーク防御 (第 4 版)。エンゲージ。 https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ 説明されているリソース: OWASP トップ 10 プロジェクト: https://owasp.org/www-project-top-ten/ Burp Suite: https://portswigger.net/burp Zed Attack Proxy (ZAP): https://www.zaproxy.org/ このエピソードで学ぶこと: 0:00 – Web フォームのパラドックス: 境界とアプリケーション 1:33 – アプリケーション セキュリティ (AppSec): 見落とされている中間子 4:22 – Web の進化: 静的 vs. 動的 7:40 – アーキテクチャ: CGI、Web フォーム、およびサーバー フレームワーク 12:06 – サードパーティ フレームワークのサプライ チェーン リスク14:10 – Web サーバーのライバル関係: IIS 対 Apache 18:16 – スクリプト言語: PHP、Cold Fusion、JavaScript 21:36 – クライアント側実行 (JavaScript) の危険性 23:51 – データベースの相互接続性: ODBC、OLE DB、および ADO 27:39 – ADO 接続の構造 30:19 – Web サーバー侵害の影響32:15 – OWASP トップ 10: 脅威状況のマッピング 34:12 – WebGoat: セキュリティ テスターのための安全なサンドボックス化 36:18 – テスト方法: SAST、DAST、IAST 39:07 – 情報収集とアーキテクチャ マッピング 40:29 – 認証と認可のテスト 41:39 – 入力検証: SQL インジェクションの内訳46:04 – ブラインド SQL インジェクションとエラー処理のリスク 48:25 – 暗号化実装の欠陥 49:14 – ビジネス ロジックのテスト: シーケンシャル フローの破壊 51:00 – クライアント側のコントロール: コンビニエンス トラップ 52:14 – Web アプリ分析ツールキット 54:19 – Burp Suite: 重量プロキシ 56:36 – Wapiti によるファジング: Web アプリのためのカオス エンジニアリング 58:52 – 結論: 敵対者のような思考 AI 支援学習の透明性: このコンテンツは、Google Gemini と NotebookLM の支援を受けて開発されました。これらのツールは、コースの概念を整理し、技術文書を統合し、学生向けのインタラクティブな学習教材を作成するために活用されました。