セキュリティ系の知識を付けようと思い、「徳丸浩のWebセキュリティ教室」を読んでみたのでメモ。
脆弱性とバグ
脆弱性の定義:悪用可能なバグ
脆弱性があると、「できないはずことができる」
バグがあると、「できるはずのことができない」
バッファーオーバーフロー
コンピュータのメモリ(システムバッファ)をオーバーさせて、意図しない動作をできるようにしてしまう。
ガンブラー攻撃
FTPアカウントなどを乗っ取り、webサイトを改ざんする。
パスワードリスト攻撃
脆弱なwebサイトから入手したユーザーIDとパスワードを使って、攻撃対象のサイトでログインを試行する
責任の所在
パスワードを複数サイトで使い回し→利用者に責任
パスワードに使える文字の種類を制限→サイト側に責任
ブルートフォース攻撃
ユーザーID固定で、パスワードを変更してログインを試行する。
リバースブルートフォース攻撃
パスワードを固定、ユーザーIDを変更してログインを試行する。ブルートフォース攻撃の逆。
例:JAL、ANAの不正ログイン
クロスサイトリクエストフォージェリ(CSRF)
ユーザーの意図しないリクエストを実行させる。
例:2012年の「パソコン遠隔操作事件」
ソフトウェアのライフサイクル
バグの修正パッチ提供がいつまでかを確認。
https://qiita.com/bezeklik/items/72d1ff8393f66673e2bc
パスワードの定期的変更はセキュリティ対策のペストプラクティスではない。
悪用される期間を短くすることはできる。
2段階認証やログイン通知を実装するのが○