WEBセキュリティ対策

今号は、WEBセキュリティ対策として、開発者が意識すべき攻撃手法を簡単にを紹介します。
まず、最近の動向として、かつてはOSやサーバーソフトウエアの脆弱性をついた攻撃が多かったのですが、近年ではWEBプログラム・アプリに対する攻撃も増加しています。

そこで、まず大きく2つに分けます。

①サーバサイドプログラムに対する攻撃手法
②クライアントサイドで実行される攻撃手法 

まず①ですが、ここでは5つご紹介いたします。

1.SQLインジェクション
WEBページからの入力値やパラメータ値を利用したSQL文でデータベース問い合わせをす  るシステムに対して行なわれる攻撃。
攻撃者は任意のSQL文を実行できるため、データベースの情報に対してあらゆる問題が引  き起こされる可能性がある。

2.ディレクトリトラバーサル
WEBページからの入力値やパラメータ値を用いてファイルを読み書きするシステムに対し   て行なわれる攻撃である。
「../」など相対パス記法を用いて、開発者の意図しないディレクトリのファイルにアクセス    することで、機密情報が読みだされるなどの問題を引き起こす。

3.OSコマンドインジェクション
外部のコマンド呼び出しプログラムの不備を利用し、WEBサイト管理者が意図して無いOS  コマンドを実行する攻撃。
サーバ内の情報漏洩やデータ破壊、改ざんに利用される可能性がある。また、この脆弱性  を利用して、サーバ管理者権限の乗っ取りや他のサーバへの攻撃の踏み台にされる事も   ある。

4.パラメータ改ざん
WEBサイトに送信するパラメータを、WEBサイト管理者が意図しない物に書き換える事に  よる攻撃。
データの改ざんや、情報老兵に利用される可能性がある。

5.ファイルアップロード
ファイルアップロードも外部から受け取るパラメータのひとつである。アップロードしたファイ   ルをWEBブラウザ上で表示するWEBサイトの場合、アップロードするファイルに悪意のある  コードを含める事で、XSSはじめ、JavaScriptを利用した攻撃が可能となる。

 

②については3つ

1.XSS
入力内容をそのまま表示する場合に、表示するコンテンツに埋め込まれる攻撃である。
攻撃者は任意のJavaScriptコードを実行する事でフォームの入力内容や、Cookieの情報を  攻撃者に送るように書き換えることが出来る。

2.CSRF
CSRFは、特定の情報を特定のページにユーザの意図とは無関係に送信させる攻撃であ   る。
ログイン中のシステムに対して行われると、ログイン情報の改ざんなど設定を書き換えられ  ることができる。

3.HTTPヘッダインジェクション
サーバからWEBブラウザに送信するHTTPレスポンスのヘッダを出力するプログラムの不   備を利用し、WEBサイト管理者が意図して無いHTTPヘッダをユーザのWEBブラウザに読  み込ませる攻撃。
ユーザを偽サイトに誘導したり、CookieをWEBブラウザにセットされる可能性がある。

 

ここまで8つを簡単に解説しましたが、当学院は特にWEBセキュリティについては力を入れており、この様な熾烈極める多彩な攻撃に対する防御方法を伝授しております。
当学院の門をたたかねば・・・