応用情報勉強 セキュリティ
不正アクセス
- 辞書攻撃
辞書に載っている単語をもとにパスワードで使われそうな文字列を辞書化して、パスワードを破ろうとする
対策:パスワードはランダムに設定しよう - ブルートフォース攻撃
力ずくで考えられる文字列すべてを入力してパスワードを破ろうとする
対策:入力回数に制限を設けよう - スニッフィング
パケットを盗聴し、その内容からパスワードを不正取得しようとする方法
対策:暗号化して通信すべし - ゼロデイ攻撃
脆弱性発覚後、それを修正するまでに攻撃されてしまうこと
対策:サンドボックスなどの安全な環境でテストを実行し、脆弱性の事前解消に努める - クロスサイトスクリプティング
Webサイトの掲示板など閲覧者が投稿できる入力フォームからページ内に悪意のあるスクリプトを埋め込む。ほかの閲覧者がページにアクセスするとスクリプトが実行される
対策:入力フォームに入力された文字列を検査し、スクリプトを安全な文字列に変換する(サニタイジング) - フィッシング
偽装サイトに利用者を誘導し個人情報を取得しようとする攻撃 正規業者を装った電子メールなどが用いられる
対策:URLが本物か確認する癖をつけよう - DNSキャッシュポイズニング
DNS(ドメイン名とIPアドレスを対応付けるシステム)のキャッシュに別のドメイン名を記憶させておき、偽装サイトへ誘導する方法
対策:問い合わせに対する応答を電子署名で検証するDNSSECを使おう - ディレクトリトラバーサル攻撃
CGIなどのファイル名やパスをパラメータとして受け取るプログラムに想定外のパスを渡すことで見えないファイルを閲覧可能にする
対策:チェックして不正なパスを削除