一、Webセキュリティとは
いまの時代、サイバー攻撃はだんだん増えてます。さまざまな被害が出てしまいます。
このような脅威から身を守るための対策を、一般的に「Webセキュリティ」と呼んでいます。
普段、システムを構築する際に、情報が外部へ漏洩しないよう、サイバー攻撃を防ぎ、WebサイトやWebサービスのセキュリティを高めるための対策を目指しています。
二、サイバー攻撃の種類について
サイバー攻撃については、いくつかの種類があります。
本記事は主に下記のサイバー攻撃をご紹介いたします。
2.1 SQLインジェクションとは
データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。
2.2 XSSとは
ユーザーの入力内容によって表示が動的に変わる Web ページにおいて、悪意のあるスクリプトが Web サイトに入り込んでしまう脆弱性です。
2.3 CSRFとは
Web アプリケーションが偽装された(本来送信されるべきではない)リクエストを正規のものとして受信してしまう脆弱性、または攻撃手法を意味します。
三、Webセキュリティ対策
ここまで、一般的なサイバー攻撃の種類を知りましたが、では、どうやって効果的なWebセキュリティ対策をしますか?
実は、それぞれのサイバー攻撃に対して、Webセキュリティ対策が違います。
3.1 SQLインジェクションの対策
- SQL文の組み立ては全てプレースホルダで実装する。
- ウェブアプリケーションに渡されるパラメータにSQL文を直接指定しない。
3.2 XSSの対策
- 入力値を制限する
- エスケープ処理を行う
- Cookie情報の漏えい対策として、発行するCookieにHttpOnly属性を加え、TRACEメソッドを無効化する。
3.3 CSRFの対策
- トークンを利用して正しいリクエストであるかをチェックする
四、最後に
最後まで読んでいただき、ありがとうございます。