兵庫WEB制作.com

【シリーズ:セキュリティ】サイバー攻撃の手法(その他の攻撃編 その2)

2018年5月18日

まだまだあります、サイバー攻撃の手法。

驚くほど多くあります。

故にいたちごっこでもあります。

情報セキュリティの基礎

クロスサイトリクエストフォージェリ攻撃

長ったらしい名前ですが、これはWEBサイトのにログインしているユーザのスクリプトを操作し、WEBサイトに何らかの被害を与える攻撃です。

前回の記事で紹介したクロスサイトスプリクティング攻撃と違い、こちらはサーバーで不正な書き込みを行うなどし、被害を起こす攻撃になります。

ディレクトリトラバーサル

WEBサーバ内のディレクトリ(フォルダ)やファイル名などのパスより、上位のディレクトリを示す、”../”や、”..\”といった記号を入れ、公開するつもりのないファイルを指定する攻撃です。

サーバ内のファイル内容の漏洩や改ざんなどされる恐れがあります。

アクセス権の設定で防ぐことが可能です。

セッションハイジャック

WEBサーバに本人がアクセスしていることを確認する為、セッションIDがよく利用されます。
別のユーザのセッションIDを不正に利用し、そのユーザになりすましてアクセスされることがあります。

セッションIDを推測されにくく、暗号化することで対策します。

セッションIDは、WEBサイトにおいて情報の保持としてよく使われます。

いろいろなサイバー攻撃

第三者の中継

いわゆる踏み台です。

無関係の第三者に、サーバ中継されるなどします。

サーバの設定で第三者の中継を禁止したり、メールサーバで認証を行う方法などがあります。

OSコマンドインジェクション

基本ソフト(OS)に対し、OSコマンド(命令文のようなもの)を受け取り、実行してしまう攻撃です。

OSコマンドが実行できるような脆弱性があると行われてしまう危険があります。

– –

サイバー攻撃の手法 関連過去記事:
パスワード編
マルウェア編
その他の攻撃編 その1

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

カテゴリ

最新コラム

Facebook TWITTER LINE