2020年04月16日 05時00分 公開
特集/連載

SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性Webアプリケーションを脅かす5つの脆弱性【前編】

攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。

[Katie Donegan,TechTarget]

 Webアプリケーションの一般的な脅威は、セキュリティの専門家がよく知っているものでもある。なぜそれらの脅威はなくならないのだろうか。原因は、概してIT部門が脅威を防ぐために十分な対策をしていないことにある。本稿が紹介する以下5つのWebアプリケーションの脆弱(ぜいじゃく)性に関する情報を、セキュリティインシデントと潜在的なダメージを防ぐために役立ててほしい。

  1. SQLインジェクション
  2. クロスサイトスクリプティング(XSS)(会員限定)
  3. バッファオーバーフロー(後編で紹介)
  4. クロスサイトリクエストフォージェリ(CSRF)(後編で紹介)
  5. アクセス制御の不備を突く攻撃(後編で紹介)

1.SQLインジェクション

 正規のSQLクエリに悪意ある操作を挿入して、標的のサーバで実行させることを可能にするSQLインジェクションを悪用した攻撃は、たちが悪い脅威だ。機密データ漏えいだけでなく、攻撃者によるシステムへのリモートアクセスと制御を引き起こす。Webアプリケーションの開発とホスティングの外部委託、継続的なセキュリティテストの未実施が、SQLインジェクション攻撃の一因になっている。

 SQLインジェクション攻撃を防ぐには脆弱性診断とペネトレーション(侵入)テストが欠かせない。市販の脆弱性診断製品やソースコード分析製品を使用することで、SQLインジェクションをはじめとするアプリケーションの脆弱性を検出できる。1つのセキュリティ製品で全ての脅威に対処するのは難しいため、複数の製品を使うとよいだろう。

2.クロスサイトスクリプティング(XSS)

ITmedia マーケティング新着記事

news052.jpg

Disney飛躍の立役者ボブ・アイガー氏が語る 「積み上げてきた価値を『崇拝』せず『尊重』せよ」
The Walt Disney Companyを巨大メディア企業に成長させた前CEOのボブ・アイガー氏が、レ...

news048.jpg

組織内のデータの半分以上が「ダークデータ」 回答者の66%――Splunk調査
「ダークデータ」とは活用できていない 、もしくは把握すらできていないデータのこと。

news153.jpg

「広告をきっかけにアプリをダウンロード」 回答者の46%――Criteo調査
コロナ禍におけるアプリユーザー動向調査レポート。日本のモバイルアプリユーザーはコン...