Webセキュリティの個人的なメモ

タイトル通り、webセキュリティのメモ書き。

参考

• 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構*1
• 第1回■ぜい弱性がなくならない本当の理由（わけ）（3ページ目） | 日経 xTECH（クロステック）
• [HotFix Report] セキュリティ用語−セッション・ハイジャック（session hijack）

もろもろ

• SQL Injection (SQL インジェクション)
  • データの中にこっそりSQLを書いて、こっそり入れたSQL文の直前に「'」とかでエスケープして、こっそり入れたSQL文を実行させますよっと
• OS Command Injection (OS コマンド インジェクション)
  • CGIとかの中に、openとかexec,system関数を使ってるとき、入力値をそのまま入れてるとコマンドが実行されちゃうってやつ。
• パス名パラメータの未チェック／Directory traversal (ディレクトリ・トラバーサル)
  • ../../etc/httpd/httpd.conf とかで設定ファイルとかが覗けちゃう物。
• セッションIDの推測／(Session Hijackの一つ)
  • セッションIDが推測されやすい場合、許可してなのにログインとかが出来ちゃうよんって事。例えばsess_1,sess_2と順番に渡してる場合、sess_3番目でログインできたり。
• セッションIDの盗用／(Session Hijackの一つ)
  • tcpdump とかで packet sniff(パケットスニフ) して、他人のセッションを読み取って、勝手にログインする。
• Session Fixation (セッションIDの固定化)／(Session Hijackの一つ)
  • あらかじめ攻撃者はセッションIDを取得し、ユーザにそのセッションIDを埋め込ませて、利用させる。器用なこって…
• XSS (クロスサイト・スクリプティング)
  • webページとかメールに偽のURLを埋め込み、利用させていろいろ搾り取る。
• CSRF (クロスサイト・リクエスト・フォージェリ)
  • 偽サイトを作って、セッションとかを取る。IPAの資料がわかりやすいです。
• HTTP Header Injection (HTTP ヘッダ・インジェクション)
  • Requestに何かを埋め込む？よくわからない。亜種に「HTTPレスポンス分割（HTTP Response Splitting）」ってのがあるみたい
• メールの第三者中継／Mail Header Injection(メールヘッダー・インジェクション)
  • Mailフォームに、メールヘッダーを仕込む方法。結構あるし、spamの中継とかになってる事がある。
• アクセス制御や認可制御の欠落
  • 簡単に言えば「管理画面やけど、ログインせんでも見れたで…」

後でまた書く

*1:あっちこっちに飛ばされて着いた所。一ページに納めてくれぃ