脆弱性を利用した攻撃について

カテゴリ: 今月のヒヤリ

日々多くのセキュリティインシデントが発生しておりますが、
この度は、システムの脆弱性によるインシデントに着目してみたいと思います。
脆弱性を突く攻撃の代表的な手法は以下になります。

・バッファオーバーフロー
アプリのメモリ内のバッファサイズを超えるデータが入力されることで、
不正なデータが実行されて誤作動が起こること。
対策としては、セキュアなコーディング、高級言語を使用するなど。

・SQLインジェクション
想定されていない不正なSQL文が実行されデータベースの内容が改ざんされたり、盗み取られたりすること。
対策としては、プレースホルダやプリペアードステートメントを使用する。入力値をしっかりとチェックし適切にエスケープをするなど。

・クロスサイトスクリプティング
ユーザのアクセス時に表示される動的Webページの脆弱性を利用し、スクリプト付きでユーザをサイトに移動させ、ページを改ざんしたり、情報を盗み取ること。
対策としては、セキュアなコーディング、ページに出力するデータのエスケープ処理するなど。

上に挙げたもの以外にも様々な手法がありますので、興味が沸いた方は自分でも調べてみて下さい。