セキュリティの勉強してます。

最近仕事先のセキュリティの試験を受けるために勉強しているので、そのときのメモです。

——————————–
Webに対する攻撃14種
——————————–

■Webアプリケーションに依存しない
・既知の脆弱性
ソフトウェアの既知の脆弱性(セキュリティホール)を攻撃する

・製品の誤設定
HTTPサーバやアプリケーションパッケージの設定みすを攻撃する

・パスワード攻撃
総当りまたは辞書攻撃で有効なパスワードを探し当てる

・バッファオーバーフロー
スクリプトに対して大量の入力データを送信し、誤作動を誘う

■設定や構成の不備
・強制ブラウズ
URLを直接指定して、リンクされていないページを覗く

・情報の意図せざる流出
システムが返すエラーメッセージから、本来公開する必要のない情報が漏洩

・不十分なエラー処理
エラーの処理において、攻撃者に有益な情報が表示される

・バックドアやデバッグモード
裏口やデバッグモードを探し出して不正にそれを使う

■プログラミングの不備
・ステルスコマンド操作(os,sqlインジェクション)
不正なOS、SQLコマンドを実行させる

・クロスサイトスクリプティング
第三者のコードを混入させ、サイトのユーザを攻撃する

・HTTPヘッダインジェクション
HTTPレスポンスを偽造し、サイトのユーザを攻撃する

■設計の不備
・セッションハイジャック/リプレイ
他人が確立しているセッションを奪う、または強制的に再現する

・セッションフィクセーション
攻撃者が指定したセッションIDをWebアプリケーションに使わせる

・クロスサイトリクエストフォージェリー(CSRF)
正規ユーザを誘導し、強制的に特定の処理を実行させる

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です