セキュリティ勉強
脆弱性の診断の勉強で、ZAPで、脆弱性診断をしています。動的スキャンした際に分からなかった用語、学んだことをまとめていきます。
zap公式ドキュメントはこちら。
https://www.zaproxy.org/
https://www.zaproxy.org/docs/
Parameter Tampering
パラメータタンパリング
・タンパリングとは「いたずらする」「勝手に変える」という意味。
・URL内に埋め込まれたパラメータ値を改ざんしてしまう。
buffer overflow
バッファ オーバーフロー
バッファ
→コンピュータで、データを一時的に記憶する場所。
・攻撃するコンピュータに、許容するより多くのデータを送りつけ、誤作動を起こさせてしまう。
Path Traversal
パストラバーサル
Directory Traversal
ディレクトリトラバーサル
同じ。
・「../」を利用してディレクトリを遡り、本当なら、アクセスが禁止されているディレクトリにアクセスしてしまう。
File include
ファイルインクルード
・include
→ファイルから読み込む記述。
・プログラムの中で他のファイルをincludeしている場合、攻撃者が意図的にそのファイル名を修正して不正にファイルを処理させてしまう。
Directory listing
ディレクトリリスティング
・Webサーバ(Apacheなど)には、URLで指定するとディレクトリに含まれるファイル一覧を表示する機能がある。
・ディレクトリリスティングされた時にindex等のファイルが置かれていないと、ファイル全容が第三者に知られてしまう。