YouTubeに動画『視聴者からの質問に答えるよ、カード情報をサイトに保持するサイトは非保持化に逆行?』他2本を公開しました

弊社代表取締役、徳丸浩がYouTubeに公式チャンネル『徳丸浩のウェブセキュリティ講座』に動画を新たに3本公開いたしました。

今後もさまざまな情報を公開してまいります。

第12弾
SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

難易度:★★☆☆☆

ウェブサイトのデータベースに保存されているカード情報をSQLインジェクションにより盗み出すデモンストレーションです。
このような攻撃は今日成功しない状況ですが、当然ながら悪用厳禁です。
SQLインジェクションによるカード情報の盗み出しは以下の記事ではType1と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

関連動画

第8弾 クレジットカード情報漏洩の手口の動向
第9弾 フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)
第10弾 偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)
第11弾 ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)
第13弾 DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

第13弾
DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

難易度:★★☆☆☆

データベースに保存されているカード情報をバックドア経由で盗み出すデモンストレーションです。
今回はECサイトの管理者パスワードが弱かったという想定でバックドアを設置します。
ログファイルからの盗み出しは以下の記事ではType3と分類しているものですが、改正割賦販売法施行(2018年6月)後の今日ではこれ自体成功しないケースが大半でしょう。歴史的な方法として紹介します。
徳丸浩の日記:クレジットカード情報盗み出しの手口をまとめた
※ 公開サイト等に攻撃を行うことは法律で禁止されています

DBに保存されたクレジットカード情報をバックドア経由で盗むデモンストレーション(Type3)

関連動画

第8弾 クレジットカード情報漏洩の手口の動向
第9弾 フォーム改ざんによりクレジットカード情報を盗むデモンストレーション(Type4)
第10弾 偽決済画面への誘導によりクレジットカード情報を盗むデモンストレーション(Type5)
第11弾 ECサイトのログからクレジットカード情報を盗むデモンストレーション(Type2)
第12弾 SQLインジェクションによりクレジットカード情報を盗むデモンストレーション(Type1)

第14弾
視聴者からの質問に答えるよ、カード情報をサイトに保持するサイトは非保持化に逆行?

難易度:★★☆☆☆

視聴者からpagefulにて頂いた質問に回答します。
カード情報を保存する機能を提供するサイトは非保持化の考え方に逆行するのではないかという質問への回答です。

質問はこちらから引用
ockeghem page

視聴者からの質問に答えるよ、カード情報をサイトに保持するサイトは非保持化に逆行?

関連動画

第8弾 クレジットカード情報漏洩の手口の動向

今後もさまざまな情報を公開してまいります。
ぜひご覧ください。

動画の一覧はこちらから
YouTubeチャンネル:『徳丸浩のウェブセキュリティ講座』