YouTubeに動画『クレジットカード情報漏洩の手口の動向』他4本を公開しました

弊社代表取締役、徳丸浩がYouTubeに公式チャンネル『徳丸浩のウェブセキュリティ講座』に動画を新たに5本公開いたしました。

今後もさまざまな情報を公開してまいります。

第7弾
もっとも悪用されたPHPの脆弱性CVE-2012-1823を検証する

難易度:★★★★☆

PHPの脆弱性の中でもっとも悪用されたCVE-2012-1823を検証してみました。

この動画で学習できること
 ・CVE-2012-1823が悪用できる原理
 ・攻撃に悪用できるPHPの便利機能
 ・徳丸本VMでは無効化されているCVE-2012-1823を有効化する方法

前提となる環境は徳丸本『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』の実習用VM
(オリジナルの環境で大丈夫です)

※ 古い脆弱性なので攻撃が成功することはまずないでしょうが、公開サイト等に攻撃を行うことは法律で禁止されています

もっとも悪用されたPHPの脆弱性CVE-2012-1823を検証する

第8弾
クレジットカード情報漏洩の手口の動向

難易度:★★☆☆☆

2018年6月に改正割賦販売法が施行され、クレジットカード情報の非保持化が法律で義務付けられました。しかし、それ以降もクレジットカード情報漏洩は減るどころかむしろ増加しています。
この動画ではECサイトからのクレジットカード情報漏洩手口の変遷について説明します。
また、今後の動画にて、各漏洩手口についてデモにて紹介する予定です。

クレジットカード情報漏洩の手口の動向

関連動画

第9弾 フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)
第10弾 偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)
第11弾 ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

第9弾
フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)

難易度:★★★☆☆

クレジットカード情報を入力する画面に外部からJavaScriptを注入して、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2013年3月から使われているもので、現在のカード情報盗み出しの主流の手口です。
以下の記事ではType4と分類している方法です。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

関連動画

第8弾 クレジットカード情報漏洩の手口の動向
第10弾 偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)
第11弾 ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

第10弾
偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

難易度:★★★☆☆

偽造したクレジットカード情報入力画面に誘導することで、ユーザーが入力したカード情報を盗み出す手口をデモにて解説します。この手口は2018年7月から使われているもので、現在のカード情報盗み出しの主流の手口の一つです。
以下の記事ではType5と分類している方法です。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

関連動画

第8弾 クレジットカード情報漏洩の手口の動向
第9弾 フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)
第11弾 ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

第11弾
ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

難易度:★★★☆☆

ウェブサイトのログに保存されているカード情報を盗み出すデモンストレーションです。
今回は化石のような攻撃方法SSIインジェクションを用いました。
SSIインジェクション自体は今やほとんど成功しないと思いますが、当然ながら悪用厳禁です。
ログファイルからの盗み出しは以下の記事ではType2と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)

関連動画

第8弾 クレジットカード情報漏洩の手口の動向
第9弾 フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)
第10弾 偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)

今後もさまざまな情報を公開してまいります。
ぜひご覧ください。

動画の一覧はこちらから
YouTubeチャンネル:『徳丸浩のウェブセキュリティ講座』