Webセキュリティ


Webに関わるセキュリティの紹介です。

🍄 フィッシング(phishing)

  • 本物に偽装した偽サイトのURLを踏ませて、パスワードや暗号情報などを盗み取る手口
  • ユーザーとしては、信用できないWebリンクを開かない。ID/PWはサービスごとに変える

🗽 コードインジェクション攻撃

インジェクション攻撃とは入力データの中にセキュリティを侵害するようなコードを埋め込み、Webアプリケーション側で実行させる攻撃です。



出典: [ThinkIT] 第5回:インジェクション攻撃

代表例は次のとおりです。

攻撃名 説明
SQLインジェクション DBに干渉して情報漏えい・情報改ざんを引き起こす
OSコマンドインジェクション パラメータにOSに対する命令(コマンド)を紛れ込ませて不正に操作

🎳 ディレクトリトラバーサル

  • ../」のような文字列で、公開していないディレクトリにアクセスすること
  • 入力されうるパス指定を制御するための処理に不備がある場合に問題となる

🐮 クリックジャッキング

クリックジャッキングはリンクやボタンなどの要素を隠蔽・偽装してクリックを装い、利用者の意図しない動作をさせようとする攻撃手法です。

例としては、一見関係のないボタンをクリックするとFacebookに意図しない内容のシェアをされることなどがあります。

😎 バッファオーバーフロー

バッファオーバーフロー(バッファオーバーラン)とはプログラムで用意しているバッファの大きさを超えるデータが入力、送り込まれることでシステムが誤作動を起こしたり、悪意のあるプログラムが実行できてしまう状態のことです。

🚜 参考リンク

📚 おすすめの書籍

🖥 サーバについて

このブログでは「Cloud Garage」さんのDev Assist Program(開発者向けインスタンス無償提供制度)でお借りしたサーバで技術検証しています。 Dev Assist Programは、開発者や開発コミュニティ、スタートアップ企業の方が1GBメモリのインスタンス3台を1年間無料で借りれる心強い制度です!(有償でも1,480円/月と格安)