Hello there, ('ω')ノ ラボの目的 このラボでは 画像アップロード機能 + パストラバーサル脆弱性 を悪用して Webシェルをサーバーの実行可能ディレクトリに配置 → コマンド実行 します。 通常の /files/avatars/ → 実行不可 1階層上の /files/ → 実行可能 .…

Hello there, ('ω')ノ ✅ 実行防止はWebシェル設置を阻止する強力な対策 サーバー設定でアップロードディレクトリを**「実行不可」にしておけば** 攻撃者が .php, .jsp などをアップロードしても スクリプトは実行されず、ただのテキストとして返る 例： HTT…

Hello there, ('ω')ノ ✅ ファイルアップロード防御の基本 1️⃣ 第一の防御線：危険ファイルのアップロード自体を防ぐ 2️⃣ 第二の防御線：万が一アップロードされても サーバー上で実行できないようにする 第二の防御線がなぜ重要か？ どんなに厳重に検証して…

Hello there, ('ω')ノ AIが提案や回答をしたとき、 「これ、本当に正しいの？」と不安に思ったことはありませんか？ どれだけ高性能なAIでも「100%正しい」とは限りません。 そこで大事なのが「出力の信頼度（confidence）」を明示することと、 「ユーザーと…

Hello there, ('ω')ノ AIはあくまで「学習したデータからパターンを見つけて判断する」という特性を持ちます。 そのため、データや設計に偏り（バイアス）が含まれていると、AIも無意識にそのバイアスを引き継いでしまいます。 これは差別的・不公平な判断や…

Hello there, ('ω')ノ AIの判断や行動は、人間には「なぜそうなったのか」がわかりにくいことが多くあります。 とくにディープラーニングや大規模言語モデルは、いわゆるブラックボックスと呼ばれ、 「正しい答えは出したが、理由が説明できない」 という問…

Hello there, ('ω')ノ どんなに性能が高くても、「このAIを本当に使って大丈夫？」という不安があれば、 人はAIを実務の現場で使おうとはしません。 エージェントAIの普及においても、“信頼できること”が最大の条件になります。 信頼とは「安心して任せられ…

Hello there, ('ω')ノ 「設定した通りに動いたけど、結果はイマイチだった」 「環境が変わったのに、AIは気づかず古いまま動き続けた」 ──そんな失敗、ありませんか？ 実用的なエージェントAIには、周囲の変化を“見張って”反応できる力＝監視と適応が欠かせ…