【FE】情報セキュリティ(まとめ2)
1. DNS cache poisoning
DNSサーバに偽のキャッシュ情報 を登録させる。DNSサービスの利用者を攻撃者の設定した別のサイトに誘導させようとする攻撃手法。
2. SEOポイズニング
Search Engine Optimization
検索結果に不正なソフトウェアが仕込まれた悪質サイトを上位に表示される仕組み。
3. DOS攻撃
対象:稼働しているサーバやネットワークなど;
目的:サービスの妨害。
それらのリソース(資源)に意図的に過剰な負荷をかけたり、脆弱性をつけたりするような攻撃手法。
4. SQLインジェクション攻撃
対象:Database;
目的:Databaseで不正な操作の権限を取得。
実現方法:インターネット経由でWeb Appに、Database操作の命令文を入力する。
対策:① SQL文の組立でPlaceHolderで実装する;
② DBの操作命令の組立を文字列連結によって行う場合は、文字列にescape処理をする。
5.中間者攻撃
内容:クライアントとサーバとの通信間に、攻撃者が割込みを実施する。それらの間の通信の中継として正規の相互認証が行われるように、セキュリティを破る。
実現方法:中間者攻撃では、正当なサーバになりますした攻撃者は、クライアントへ偽のサーバの公開鍵を送りつけて通信を確立するようとする。
対策:SSHによる通信。
6. クロスサイトスクリプティング
Cross-site scription(XSS)
目的:サイトを横断してユーザのクッキーや個人情報を盗む。
実施方法:動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、悪意のあるスクリプトを混入させる。
7. 辞書攻撃
Passwordのクラックに用いられてそれを破ろうとする手法の1つ。
ユーザの習慣により、Passwordによく使われる英単語や数字などの文字列を登録されたファイル(辞書ファイル)に多く用意する。それを1つずつ試していくことで、Passwordを破ろうとする。
8. ディレクトリトラバーサル
Directory traversal
サーバ内の想定外のファイル名を直接指定することにより、本来許されないファイルを不正に閲覧する攻撃方法。
親ディレクトの移動(../)など、システムが想定外のファイル名を指定することで不正なファイルの取得を狙う。
9. トラッシング
Trashing ゴミ箱あさり
シュレッダーにかけられず企業のゴミ箱に捨てられている書類を収取し、重要な情報に再構成する行為。
10. ブルートフォース攻撃
Brute-force attack 総当たり攻撃
Passwordのクラックに用いられてそれを破ろうとする手法の1つ。
特定の文字数および文字種類で設定される可能性のある組合せのすべてを試すことで、不正なログインを試す。
11. ポートスキャン
Port scanner
目的:OSIモデルのアプリケーション層に脆弱性のあるサービスの有無や、IT管理者のスキルを推定するために、不正アクセスの準備とする。
実現方法:すべてのポートにパケットを送信し、それぞれの応答の有無を確認する行為。
この記事が気に入ったらサポートをしてみませんか?