バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性Webアプリケーションを脅かす5つの脆弱性【後編】

主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。

2020年05月01日 05時00分 公開
[Katie DoneganTechTarget]

 Webアプリケーションへの攻撃に利用される主な脆弱(ぜいじゃく)性を前後編にわたり紹介する。前編「SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性」は、「SQLインジェクション」「クロスサイトスクリプティング」(XSS)を取り上げた。後編は残る3つを見ていこう。

  1. SQLインジェクション(前編で紹介)
  2. クロスサイトスクリプティング(XSS)(前編で紹介)
  3. バッファオーバーフロー
  4. クロスサイトリクエストフォージェリ(CSRF)(会員限定)
  5. アクセス制御の不備を突く攻撃(会員限定)

3.バッファオーバーフロー

 一時的なデータを保持するための固定長のメモリ領域が「バッファ」だ。プログラムやプロセスが限度以上のデータをバッファに入力するとデータがあふれる。これがバッファオーバーフローだ。攻撃者はバッファオーバーフローを悪用した攻撃により、システムをクラッシュさせ、制御または変更が可能になる。

 市販アプリケーションは、バッファオーバーフロー攻撃を回避するための仕組みを携えているものがほとんどだ。独自開発したアプリケーションもバッファオーバーフロー攻撃の対象になる恐れがあるため、回避策を組み込む必要がある。

4.クロスサイトリクエストフォージェリ(CSRF)

ITmedia マーケティング新着記事

news061.jpg

マーケターの87%は自分の仕事が生成AIなどのテクノロジーに取って代わられることを懸念――Gartner調査
Gartnerがマーケティング人材に関する調査を実施。環境的不確実性と技術的複雑性の中で、...

news058.jpg

Z世代が旅に求める「令和的非日常」とは?
JTBコミュニケーションデザインと伊藤忠ファッションシステムが、Z世代の旅に関する意識...

news094.jpg

電通が「AI×クリエイティブ」の強みを生かしたビジネスコンサルティングサービスを提供開始
電通は「AI×クリエイティブ」で企業の事業やサービスの開発を支援する新サービス「AIQQQ...