Webセキュリティの個人的なメモ
タイトル通り、webセキュリティのメモ書き。
参考
- 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構*1
- 第1回■ぜい弱性がなくならない本当の理由(わけ)(3ページ目) | 日経 xTECH(クロステック)
- [HotFix Report] セキュリティ用語−セッション・ハイジャック(session hijack)
もろもろ
- SQL Injection (SQL インジェクション)
- データの中にこっそりSQLを書いて、こっそり入れたSQL文の直前に「'」とかでエスケープして、こっそり入れたSQL文を実行させますよっと
- OS Command Injection (OS コマンド インジェクション)
- CGIとかの中に、openとかexec,system関数を使ってるとき、入力値をそのまま入れてるとコマンドが実行されちゃうってやつ。
- パス名パラメータの未チェック/Directory traversal (ディレクトリ・トラバーサル)
- ../../etc/httpd/httpd.conf とかで設定ファイルとかが覗けちゃう物。
- セッションIDの推測/(Session Hijackの一つ)
- セッションIDが推測されやすい場合、許可してなのにログインとかが出来ちゃうよんって事。例えばsess_1,sess_2と順番に渡してる場合、sess_3番目でログインできたり。
- セッションIDの盗用/(Session Hijackの一つ)
- tcpdump とかで packet sniff(パケットスニフ) して、他人のセッションを読み取って、勝手にログインする。
- Session Fixation (セッションIDの固定化)/(Session Hijackの一つ)
- あらかじめ攻撃者はセッションIDを取得し、ユーザにそのセッションIDを埋め込ませて、利用させる。器用なこって…
- XSS (クロスサイト・スクリプティング)
- webページとかメールに偽のURLを埋め込み、利用させていろいろ搾り取る。
- CSRF (クロスサイト・リクエスト・フォージェリ)
- 偽サイトを作って、セッションとかを取る。IPAの資料がわかりやすいです。
- HTTP Header Injection (HTTP ヘッダ・インジェクション)
- Requestに何かを埋め込む?よくわからない。亜種に「HTTPレスポンス分割(HTTP Response Splitting)」ってのがあるみたい
- メールの第三者中継/Mail Header Injection(メールヘッダー・インジェクション)
- Mailフォームに、メールヘッダーを仕込む方法。結構あるし、spamの中継とかになってる事がある。
- アクセス制御や認可制御の欠落
- 簡単に言えば「管理画面やけど、ログインせんでも見れたで…」
後でまた書く
*1:あっちこっちに飛ばされて着いた所。一ページに納めてくれぃ