目次
10 関係: ネットワーク、ハードウェア、バルテス・ホールディングス、ディレクトリトラバーサル、クロスサイトリクエストフォージェリ、クロスサイトスクリプティング、SQLインジェクション、Web Application Firewall、Webサーバ、XML外部実体攻撃。
ネットワーク
ネットワーク (英:network) net ネット(=網)状の、work ワーク(=作られたものごと)の総称。
ハードウェア
ハードウェア(hardware)とは、コンピュータなどのシステムにおいて、機械、装置、設備、部品といった物理的な構成要素をいう。ソフトウェアとの対比語であり、単に「ハード」とも呼ばれる。 転じて、コンピュータとは無関係な分野においても、物理的な設備・施設・車両などを「ハードウェア」、物理的な形を持たない規則・運用・教育・技術・ノウハウなどを「ソフトウェア」と呼ぶことがある。
バルテス・ホールディングス
バルテス・ホールディングス株式会社()は、ソフトウェアの品質に関わるサービスを提供するソフトウェアテスト専門企業バルテス株式会社などを子会社に持つ持株会社である。
ディレクトリトラバーサル
ディレクトリトラバーサル (directory traversal) とは、利用者が供給した入力ファイル名のセキュリティ検証/無害化が不十分であるため、ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法のことである。 この攻撃の目標は、アクセス可能にすることを意図していないファイルへのアクセスをアプリケーションに命令することである。この攻撃は、コードに含まれるバグの攻撃とは対照的に、セキュリティの欠如 (ソフトウェアがまさにそう振る舞うことになっている動作) を攻撃する。 ディレクトリトラバーサルには../ (ドットドットスラッシュ) 攻撃、 ディレクトリクライミング、およびバックトラッキングのような別名がある。この攻撃の一部の形態は、正規化攻撃でもある。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つもしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある)、またはXSRF。リクエスト強要、セッションライディング (session riding) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)。IPA。2016/9/15閲覧。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており、全く異なる種類の攻撃である。
クロスサイトスクリプティング
クロスサイトスクリプティング(cross-site scripting)とは、Webアプリケーションの脆弱性もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)。IPA。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった。 「クロスサイト(サイト横断)」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった。
SQLインジェクション
SQLインジェクション(SQL injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のことである。 SQLに別のSQL文が「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」もしくは「SQL注入」と呼ばれることもある。
Web Application Firewall
Web Application Firewall(略称:WAF、ワフ)とはウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティの一種。WAFを導入するウェブサイト運営者は、検出パターンを設定することで、ウェブサイトとウェブサイト利用者との間の通信の内容を機械的に検査する。WAFを使用することで、以下の効果が期待できる。
見る PrimeWAFとWeb Application Firewall
Webサーバ
Webサーバ(ウェブサーバ、英:)は、HTTPに則り、クライアントソフトウェアのウェブブラウザに対して、HTMLやオブジェクト(画像など)の表示を提供するサービスプログラム及び、そのサービスが動作するサーバコンピュータを指す。 広義には、クライアントソフトウェアとHTTPによる通信を行うプログラム及びコンピュータ。
XML外部実体攻撃
XML外部実体攻撃 (XML External Entity, XXE攻撃)はコンピュータセキュリティにおける脆弱性の一種で、一般にWebアプリケーションでみられる。XXEによって攻撃者はネットワークに接続されたサーバー内の通常保護されているはずのファイルを取得することが可能となる。 XML標準には外部一般パース済みエンティティ(外部エンティティ)という概念が存在する。XMLドキュメントのパース中に、パーサーはリンクを展開し結果のXMLドキュメントにURIのコンテンツを含める。 The Open Web Application Security Projectは2017年トップ10のWebセキュリティリスクの4番目にXML外部実体攻撃を挙げた。