バッファオーバーフロー、CSRF、アクセス権限の不備とは？ 危険なWeb脆弱性：Webアプリケーションを脅かす5つの脆弱性【後編】

主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。

[Katie Donegan，TechTarget]

　Webアプリケーションへの攻撃に利用される主な脆弱（ぜいじゃく）性を前後編にわたり紹介する。前編「SQLインジェクション、クロスサイトスクリプティングとは？　Webの主な脆弱性」は、「SQLインジェクション」「クロスサイトスクリプティング」（XSS）を取り上げた。後編は残る3つを見ていこう。

1. SQLインジェクション（前編で紹介）
2. クロスサイトスクリプティング（XSS）（前編で紹介）
3. バッファオーバーフロー
4. クロスサイトリクエストフォージェリ（CSRF）（会員限定）
5. アクセス制御の不備を突く攻撃（会員限定）

併せて読みたいお薦め記事

さまざまなアプリケーション攻撃手法

• 知っておきたい「バッファオーバーフロー攻撃」とは？　主要な4種を紹介
• 「シェルコード」とは？　凶悪なマルウェア感染を可能にする手口
• 意外にセキュリティは甘い？　データベースのデータ保護に不安を感じる理由

アプリケーションへの攻撃を防ぐには

• モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は？
• 7pay事件で再考すべき「Webアプリケーション」のリスクと対策

3．バッファオーバーフロー

　一時的なデータを保持するための固定長のメモリ領域が「バッファ」だ。プログラムやプロセスが限度以上のデータをバッファに入力するとデータがあふれる。これがバッファオーバーフローだ。攻撃者はバッファオーバーフローを悪用した攻撃により、システムをクラッシュさせ、制御または変更が可能になる。

　市販アプリケーションは、バッファオーバーフロー攻撃を回避するための仕組みを携えているものがほとんどだ。独自開発したアプリケーションもバッファオーバーフロー攻撃の対象になる恐れがあるため、回避策を組み込む必要がある。

4．クロスサイトリクエストフォージェリ（CSRF）