H29年度春の情報処理安全確保支援士の午後1問題の問2より、セキュリティ・ネットワーク関連の用語を抜粋しました。
(あまりに常識的すぎる用語は除いています)
※個人的な勉強を兼ねて作成したものです。誤りがあった場合、非常に申し訳ありません。
※セスぺ・ネスぺ保有者がキッチリやったので基本的には間違いはないはずです。
午後1 問2
POSTデータ
POSTメソッドでやりとりするデータのこと。
POSTメソッドとは、HTTPを用いてWebサーバとクライアントでやりとりするときに用いるメソッドである。類似したメソッドにGETメソッドがあるが、GETメソッドとは異なり、POSTメソッドはデータの秘匿性を保てる等の違いがある。
クロスサイトスクリプティング
他者のWebサイトへ悪意のあるスクリプトを埋め込む攻撃手法である。
Webサイト上(SNS等の投稿、コメント投稿の画面、ユーザID・パスワード入力画面等)の入力フォームへ悪意のあるスクリプト(javascript等)を入力する。
これにより、他人のクッキー情報を抜き取ることが出来る。(クッキー情報を抜き取れば、その人になりすましてWebサイトにアクセスしたり、個人情報を不正に搾取することが出来る。)
クロスサイトリクエストフォージェリ
悪意の無い第三者にあるサイトを攻撃させたり、不正な書き込みをさせたり、身に覚えのないネットショッピングをさせる等の攻撃である。
攻撃の方法とは以下の手順を踏む。
①攻撃者が攻撃用のページを作成し、悪意の無い第三者にアクセスさせる。
②悪意の無い第三者のアクセスにより、攻撃用のページに仕込まれた悪意のあるコードが実効される
③悪意のあるコードが、悪意の無い第三者の要求として、攻撃対象のサイトに送られる
これにより、ユーザの意図しない処理が行われてしまう。
クロスサイトスクリプティングではクッキー情報を抜き取って、そこから不正に操作をするが、クロスサイトリクエストフォージェリでは、誰かがアクセスすると攻撃(事前に仕込んでいた攻撃)が発動する仕組みである。
セッションハイジャック
セッションとはクライアントとサーバの通信の一連の流れのことである。
セッションハイジャックとは、悪意のある第三者がこの通信の流れに割り込んで、自分が正規の通信者であるかの様に通信する攻撃である。(通信の際に、サーバとクライアントでやりとりしているセッションIDというものがあり、それを乗っ取る。)
一例を挙げると、ショッピングサイトのアカウント等で、他者がログインした後に、自分が割って入ることで、そのログイン情報を乗っ取って、自分が他者のアカウントで買い物をする、といった攻撃である。
(参考までに)セッションハイジャックとクロスサイトスクリプティングは近いものがある。クロスサイトスクリプティングではクッキー情報を抜き取るが、脆弱なサイトでは、セッションIDをクッキー情報から盗み出すことが出来てしまう。これにより、セッションハイジャックが出来てしまうことがある。
hiddenフィールド
HTMLにてデータをやり取りする際、画面には表示しないが、データとして送信したいデータを設定するためのフィールドである。
type=”hidden”を設定する。
hiddenフィールドの値は悪意のあるユーザにより改ざん出来てしまう事から、セキュリティに関わるデータの設定は避けるべきである。
コメント