質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

7回答

2805閲覧

ハッキング手法について

tanakasou

総合スコア10

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

2グッド

1クリップ

投稿2019/02/08 04:33

編集2022/01/12 10:55

現役セキュリティエンジニアの方に質問です。現在、ハッカーにあこがれて(もちろんホワイトの)、趣味でプログラミングをしている者です。プログラミングにも慣れてきたので、そろそろ本格的に情報セキュリティについて勉強しようと思っているのですが、実践的なことをどのような分野で学べるのかがわかりません。具体的には、マルウェアやSQLインジェクションについて勉強したいのですが、ハッキングにつながるソースコードをネット上に載せてはいけないという法律があるせいか、こういうソースを書けばパソコンやサーバーにこういう影響を与えるといった実践的な説明がなされているサイトを見つけたことがありません。したがって、コンピューターの中でもどのようなことを学べば実践的なハッキングの技術について触れることができるのかを教えていただきたいです。また、それらを学ぶのにおすすめな書籍などがありましたら、実際にどのようなことが書かれているのかも説明した上で、紹介していただければ幸いです。また、セキュリティエンジニアにおすすめな資格としてシスコ技術者認定の「CCNA security」というものを見つけたのですが、この資格の試験に出題される問題集を勉強すれば具体的なハッキングの技術について触れることができるのでしょうか?

解凍お待ちしております。

bochan2, yukkuri👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ockeghem

2019/02/08 07:43

Hackタグがついていますが、このタグは HackというPHPに似た言語のものなので外してください
x_x

2019/02/08 07:43

> ハッキングにつながるソースコードをネット上に載せてはいけないという法律 これはどの法律でしょうか? そういうものがあるならまさにこの teratail が引っかかると思うのですが。 なお、タグの「Hack」はプログラミング言語と間違えるので削除したほうがいいでしょう。
guest

回答7

0

最近は CTF がとても人気ということもあり、CTF関連の書籍は結構あります。Amazonで CTF というキーワードで検索してみると、何冊かヒットします。大きな書店に行く機会があれば、検索で調べた書籍を立ち読みして自分にあったものを購入したらどうでしょうか。

質問者さんの興味・関心が今ひとつわからないのですが、ウェブ関連でしたら私の本もありますし、ネット上の記事も結構ありますよ。

ちょっとひねったところで、WordPressの脆弱性を分析してみるという課題はどうでしょうか?

  • WordPress 4.7.1 を仮想環境にインストールする
  • WordPress REST APIの脆弱性(CVE-2017-1001000)のPoCを探す
  • 仮想環境上のWordPressにPoCを打ち込んでみる
  • 上記の内部の様子をデバッガで追跡して脆弱性の原理を調べる

デバッガによる分析には、以下の記事やスライドが役に立つかと思います

また、上記記事からも参照されていますが、CVE-2017-1001000の原理は以下の記事に書きました。

私の本(通称「徳丸本」)は基礎的な原理が書いてあり、まずはそこの理解が重要ですが、攻撃手法の勉強には上記に示したような「生身の攻撃」について学ぶのも、とても有効です。

それと、以下は気になる記述ですが…

ハッキングにつながるソースコードをネット上に載せてはいけないという法律がある

そのような法律はありません。あるのは、ウイルスをウイルスでないものと偽装して配布する、あるいはそれを目的として作成・所持することなどを禁止する法律です。ただ、解釈のグレーゾーンで逮捕者が出ているので、みなさん安全サイドに倒して対処しているということです。
実際の行動を安全側に倒すというのも重要なことですが、法律等を厳密に正しく理解することも同時に大切です。雰囲気で理解したつもりになってはだめです。そのような心構えでは、セキュリティの学習もおぼつかないと思いますよ。

投稿2019/02/08 07:38

編集2019/02/08 07:46
ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 |本 | 通販 | Amazon

読むといいよ。
どういうところから脆弱性が生まれたり仕組みの欠陥ができたりするのかを
体系化して説明してある本で、
エンジニアの支持が厚い本だったりします。

投稿2019/02/08 04:41

編集2019/02/08 04:56
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2019/02/08 05:08

本人が現れるのを期待しつつ(Teratailにもいらっしゃいますし)
guest

0

投稿2019/02/08 04:46

sazi

総合スコア25138

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

こういうソースを書けばパソコンやサーバーにこういう影響を与えるといった実践的な説明がなされているサイト

ではなくて、逆に
「こういうことが起こらないための対策」から調べてみればどうでしょうか。

「OWASP Top 10」などを読んでみて、どのような脆弱性があるのかを見てみるのもいいかもしれません。
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf

国内でもIPAや経済産業省などが資料を発行しています。
http://www.atmarkit.co.jp/ait/articles/1801/17/news013.html

投稿2019/02/08 04:42

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

実践的なことをどのような分野で学べるのかがわかりません。

セキュリティ面に関しては実技の面も強いので、「C言語やアセンブラなど、(ハードウェアに近いという意味での)低水準なプログラミング環境に親しむ」「サーバを立てて管理する」などの実践が、いちばんの教材になるかと思います。

こういうソースを書けばパソコンやサーバーにこういう影響を与えるといった実践的な説明がなされているサイトを見つけたことがありません。

そこまで具体的なものを求める態度では、セキュリティの世界を渡っていくことはおぼつきません。

投稿2019/02/08 04:43

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

amazo.co.jp で "ハッカー" の書籍を検索したり、
amazon.com で "hacker" の書籍を検索してみるとよいです。

投稿2019/02/09 01:38

katoy

総合スコア22324

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

セキュリティ技術者を志す者はハッカーとクラッカー、ハッキングとクラッキングを明確に区別するクセを付けたほうが良いと思います。ハッカーとクラッカー、ハッキングとクラッキングを区別しないセキュリティ技術者は、ヤバイと私は思いますし、多分私は対面でも口に出してやんわりと本人に伝えます。

投稿2019/02/08 05:37

YouheiSakurai

総合スコア6142

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問