H29年度の秋期 情報処理安全確保支援士の午後1問題の問2より、セキュリティ・ネットワーク関連の用語を抜粋しました。
(あまりに常識的すぎる用語は除いています)
※個人的な勉強を兼ねて作成したものです。誤りがあった場合、非常に申し訳ありません。
※セスぺ・ネスぺ保有者がキッチリやったので基本的には間違いはないはずです。
午後1 問2
サーブレット
Webサーバ上で実行されるプログラムのこと。
SQLインジェクション
データベースと連携したWebアプリケーション等で、入力のパラメータにSQL文を組み込んでやり、不正にデータベースにアクセスしたり、改ざんしたりする攻撃のこと。
クロスサイトスクリプティング
他者のWebサイトへ悪意のあるスクリプトを埋め込むこと。Webサイト上(SNS等の記事、コメントの投稿画面、ID・パスワード等)の入力フォームへ悪意のあるスクリプト(JavaScript等)を入力する。これにより、他人のクッキー情報を抜き取り、その人になりすましてWebサイトにアクセスしたり、個人情報を不正に搾取することが出来る。
デプロイ
サーバー等にプログラムを格納し、その他の通信・クライアントの設定を行うことで、システムを利用可能な状態にすること。
オープンリダイレクタ
URLのパラメータ部分を操作することで、ユーザを正規のサイトから別のサイトへと誘導する手法。Webアプリケーションの脆弱性を利用した攻撃手法。
Cookie
Webブラウザ内に蓄積される情報。ユーザがブラウザ経由で見たWebサイトの情報、ログイン情報のこと。
ホワイトリスト
安全であると識別したもの(IPアドレス、Webサイト等)のリストのこと。
WAF
Web Application Firewall の略。
OSI参照モデルでいうアプリケーション層でのセキュリティ対策である。Webアプリケーションを用いた脆弱性の攻撃やの対策となる。
CSRF対策トークン
CSRFとはクロスサイトリクエストフォージェリのこと。CSRFの対策として用いるワンタイムトークンのこと。具体的な方法は以下である。
①Webページのhiddenフィールドに秘密情報のトークンを設定しておく。
②ユーザがWebページ上に情報を入力し、送信する際にトークンも一緒に送信される。
③このトークンを確認することで、正規の通信であると識別する。
同一生成元ポリシ
Webブラウザに導入されているセキュリティ機能の1つ。
コンテンツのくる源泉が同一でない場合、セキュリティ上の干渉・制限を行う。
同一であるとは、以下の3つが一致していることである。
①ホスト
②スキーム
③ポート
同一生成元ポリシにより、罠サイトにアクセスして個人情報を抜き取られる等の被害を防ぐことが出来る。
バインド機能
SQLインジェクションの対策の一つ。
事前に用意したSQL文の雛形にパラメータ値をエスケープ処理した上で当てはめる。
これにより、パラメータ値に悪意のあるSQL文を挿入されても、攻撃を防ぐことが出来る。
Expires
Cookieの属性の一つ。
Cookieの有効期限(日時)を指定する。指定しなければ、ブラウザを閉じたときにCookieは破棄される。
HttpOnly
Cookieの属性の一つ。
Cookieヘッダ以外(JavaScript等)からのアクセスを禁止する。
これを設定することで、XSS攻撃を防ぐことが出来る。
Max-age
Cookieの属性の一つ。
Cookieの残存期間(秒)を指定する。
Seure
Cookieの属性の一つ。
これを設定すると、通信がHTTPSの場合のみにCookieが送信される。
Secured
(本用語は、おそらく解答者にSecureかSecuredか綴りを悩まさせるために用意されたと推測する。Secured属性は調べたが無かった。)
コメント