【用語解説】平成29年度秋季午後1問2【情報処理安全確保支援士】
情報処理安全確保支援士 用語調べ
ここでは、情報処理安全確保支援士の午後問題について、わからなかった単語、ド忘れてしていた単語などを含め用語解説等整理するページです(完全に個人の備忘用)。
こんなこともわからなかったのか!と思われても、ありのまま書きます。
SQLインジェクション
Web サイトの入力エリアに脆弱性があり、攻撃者がSQL文を含んだ文字を入力しそのままSQL が実行されること。データベース情報の窃取、コンテンツの改ざんなどを行う。※インジェクションとは英語で「注入」「挿入」を表す。
発生しうる脅威
・データベース情報の窃取、コンテンツの改ざんなど
対策
・ シングルクオーテーションやダブルクオーテーションといった記号や文字をエスケープする
その他
・実例としてはこのサイトが一番わかりやすかった
XSS(クロスサイトスクリプティング)
Webアプリケーションの脆弱性を利用して悪意のあるデータを埋め込みスクリプトを実行させる攻撃手法。サイトをまたいでスクリプトが移転・実行されることが「クロスサイト」の名称の由来となっているが、現在では攻撃者が用意したスクリプトを標的サイトのものとして実行させられてしまう攻撃全般をクロスサイトスクリプティングと呼んでいる。
(画像出典):IPA 安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング
発生しうる脅威
・本物サイト上に偽のページが表示され、フィッシング詐欺にあう
・ブラウザが保存しているCookieを取得される(セッションハイジャック)
・ウェブサイトの改ざん
対策
・入力値の制限
・サニタイジング(エスケープ)
より詳細な対策はIPAを参照(こちら)
その他
・イメージをつかむだけならこのサイトがおすすめ
オープンリダイレクター
あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって外部ページへのリダイレクトとして使われてしまうこと。
上記の例では書き換えがされており、遷移先のページ(http://example.com)が元のサイトと見た目を全く同じに装いかつ、「ID、パスワードが間違っています」等のメッセージを表示しておけば再度入力させることができる(IDとパスワードを入手できる)→フィッシング詐欺
対策
・外部パラメータを使ってリダイレクトをしないようにする
・ホワイトリストを作成しそこにあるものにしか飛ばないようにする
HttpOnly属性
httponly属性を指定すると、JavaScriptからCookieをアクセスできなくなる。※ Secure属性の反対の意味(httpでしか送信されないCookie)という意味ではない点に注意。
Secure属性
Secure 属性をつけた場合、そのクッキーは接続が https で保護されている場合のみに送信される
平成29年度秋季の用語解説
https://postgresweb.com/sc_h29_autumn_pm1_q1