|
クライアント側での攻撃
|
クロスサイトスクリプティング
|
攻撃者が外部のサイトからスクリプトを送り、ユーザが意図していない当該スクリプトを実行させられるもの。クッキー、セッションの窃取につながりアカウントを奪取されるなど、情報漏洩、権利の乗っ取りなどに繋がる
|
|
クロスサイトリクエストフォージェリ
|
CSRFと呼ばれ、日本語で言えば「リクエスト強要」。サイトをまたがって不正な要求を送り、ユーザが意図していない操作を実行させられる。ユーザはサイトにアクセスしただけで実行されてしまう。
|
|
リモートファイルインクルード
|
外部の端末から攻撃用のコードをWebページに挿入し、Webサーバを攻撃する手法。Dos攻撃をするためのBotを仕掛けるなどに利用されることもある
|
|
コマンドの実行
|
SQLインジェクション
|
Webアプリケーションの不備をついて不正なSQL文を実行させることによりDBサーバへのアクセスを実行する攻撃。これにより、ウェブサイトからの情報漏えい、改ざん等の危険性が考えられます。
|
|
コマンドインジェクション
|
プログラムに与えるパラメータにOSに対する命令文を入力し、不正に操作する攻撃。Webサイトからの情報漏えい、Webサイトの改ざん等の危険性があります。
|
|
Xpathインジェクション
|
XMLドキュメントを参照するための言語に不正な入力により、不正なXpathクエリーを発行させる攻撃。SQLインジェクションと同様にエスケープ処理の不備により発生する脆弱性。
|
|
LDAPインジェクション
|
LDAPはディレクトリ・サービスに接続するために使用されるプロトコルの一つ。LDAPクエリを不正に操作して、LDAPサーバからユーザ名やパスワードなどの機密情報を窃取する攻撃手法。サニタイズ不備などにより脆弱性を有し、情報漏洩やWebサイトの改ざんに繋がります。
|
|
SSIインジェクション
|
SSIコマンドを不正に実行する攻撃。これにより、Webサイトからの情報漏えい、改ざん等の危険性があります。
|
|
バッファオーバーフロー
|
アプリケーションの予期しないデータを送り、Webアプリケーションの誤動作を起こさせ意図した不正なコードを埋め込むなどの攻撃。Webサービスを停止させられたり、Webサーバを乗っ取られる危険性があります。
|
|
書式文字列攻撃
|
ライブラリ関数がもつ書式編集機能を悪用し、プログラムをクラッシュさせたり、不正なコードを実行させたりする攻撃ウェブサーバから意図していない内部情報が外部に漏れるなどの被害が考えがえられます。
|
|
リモートファイルインクルード
|
外部の端末から攻撃用のコードをWebページに挿入し、Webサーバを攻撃する手法。Dos攻撃をするためのBotを仕掛けるなどに利用されることもある
|
|
情報公開
|
ディレクトリインデックシング
|
Webアプリケーション内のパス指定処理の不備を利用した攻撃手法。”../”を利用してアクセスが禁止されているディクレトリへアクセスする手法を指す。
|
|
情報漏洩
|
意図していない内部情報が外部に漏えいする脆弱性。属人的な不備を含む。
|
認証
|
総当り攻撃
|
Brute force攻撃とも呼ばれ、IDやパスワードを可能な限り組み合わせて順に試す攻撃方法。秘密情報にアクセスするための認証機構の多くは簡単に推測可能なIdpassで構成されており、管理者や他のユーザに成りすまされてしまう可能性があります。
|
|
パスワードリスト攻撃
|
パスワードリスト攻撃(リスト型攻撃、アカウントリスト攻撃)は、攻撃者が予め入手ししたID・パスワードなどのアカウント情報をもって順にWebサイトにアクセスを試み、アカウントの窃取をする攻撃。
|
|
プラットフォームへの攻撃
|
DoS攻撃
|
DoSとは"Denial Of Service"のことで、提供するサービスを妨害したり、停止させるものを指します。
|
|
synフラッド攻撃
|
Dos攻撃の手法の一つでTCP接続を大量に試みる攻撃。TCPで接続を確立する際、SYNパケットを送信するが、通信の機構を悪用した攻撃手法。
|
|
パケットフラグメンテーション攻撃
|
Dos攻撃の手法の一つで、パケットの断片(フラグメンテーション)サイズを小さくし、パファイヤーウォール等のパケットフィルタリング機能を通過させ、システム内部に侵入またはネットワークを攻撃したりする攻撃手法
|
|
マルウェア対策
|
マルウェア
|
不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。様々なタイプのものが日々つくられており、Webアプリケーションにも甚大な被害を及ぼすものも多数存在します
|
クラウドWAF セキュリティ項目
