HTML5プロフェッショナル認定試験Level1【セキュリティ】

Webサイトへの不正攻撃の種類

SQLインジェクション

概要

リクエストパラメーターに不正な文字列を設定し、サーバー側でSQL文を構築し、実行することによってDBの不正操作が行われる。

脅威

DBの不正操作による、情報漏洩。改ざん・削除など

クロスサイト・スクリプティング（XSS）

概要

トラップページ、メールにより、利用者にスクリプトを含むハイパーリンクをクリックさせ、脆弱性のあるWebページに遷移し、スクリプトを送信する。

脅威

偽のWebページが表示され、悪用など招くほか、HTTPクッキーに保存されている、重要な情報が漏洩する恐れがある。

クロスサイト・リクエスト・フォージェリ（CSRF）

概要

HTTPリクエストを攻撃者が推測可能な場合に、攻撃者がユーザーを誘導し、ユーザーの意図の意図しない形で処理を実行させる

脅威

インターネットバンキングなどの送金処理やパスワード変更などの重要な処理を意図せず実行される

ディレクトリ・トラバーサル

概要

相対パスやURLを利用して、異なるディレクトリのファイルを指定し、不正にアクセスする。

脅威

Webサーバーに保存されている非公開のファイルにアクセスされ、秘密情報が漏洩、改ざん、削除される恐れがある。

HTTPヘッダ・インジェクション

概要

リクエストパラメーターに改行コードを含む不正な文字列を付与し、レスポンスヘッダを生成する事で、Webサイトに不正な動作を実行させる

脅威

動的にHTTPヘッダを生成する機能の不備を突いてヘッダ行を挿入することで不正な動作を行なわせる攻撃。
不正なHTTPクッキーがセットされ、なりすまし攻撃されたり、罠サイトにアクセス、リダイレクトされる恐れがある。
不正なリクエストを実行されXSS同様の被害が怒る場合もある。