Webセキュリティ


Webに関わるセキュリティの紹介です。

🏈 フィッシング(phishing)

  • 本物に偽装した偽サイトのURLを踏ませて、パスワードや暗号情報などを盗み取る手口
  • ユーザーとしては、信用できないWebリンクを開かない。ID/PWはサービスごとに変える

🤔 コードインジェクション攻撃

インジェクション攻撃とは入力データの中にセキュリティを侵害するようなコードを埋め込み、Webアプリケーション側で実行させる攻撃です。



出典: [ThinkIT] 第5回:インジェクション攻撃

代表例は次のとおりです。

攻撃名 説明
SQLインジェクション DBに干渉して情報漏えい・情報改ざんを引き起こす
OSコマンドインジェクション パラメータにOSに対する命令(コマンド)を紛れ込ませて不正に操作

🐰 ディレクトリトラバーサル

  • ../」のような文字列で、公開していないディレクトリにアクセスすること
  • 入力されうるパス指定を制御するための処理に不備がある場合に問題となる

🚌 クリックジャッキング

クリックジャッキングはリンクやボタンなどの要素を隠蔽・偽装してクリックを装い、利用者の意図しない動作をさせようとする攻撃手法です。

例としては、一見関係のないボタンをクリックするとFacebookに意図しない内容のシェアをされることなどがあります。

🍣 バッファオーバーフロー

バッファオーバーフロー(バッファオーバーラン)とはプログラムで用意しているバッファの大きさを超えるデータが入力、送り込まれることでシステムが誤作動を起こしたり、悪意のあるプログラムが実行できてしまう状態のことです。

🐯 参考リンク

🖥 VULTRおすすめ

VULTR」はVPSサーバのサービスです。日本にリージョンがあり、最安は512MBで2.5ドル/月($0.004/時間)で借りることができます。4GBメモリでも月20ドルです。 最近はVULTRのヘビーユーザーになので、「ここ」から会員登録してもらえるとサービス開発が捗ります!

📚 おすすめの書籍