【徳丸本で学ぶ!】バグと脆弱性の違いについてXSS(クロスサイトスクリプティング)を使って確認する
🚀初めに
現在徳丸本を読みながらセキュリティについて学んでいるので、
復習として記事を書いてみることにしました👏
↓勉強している 徳丸 浩 さんの 「 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践 」通称 徳丸本 です!!
🔍内容
バグと脆弱性の違いを記載した後に、例を見て理解する
バグと脆弱性の違いってなんだ??
バグ : 悪用できない不具合
脆弱性 : 悪用できる不具合
バグと脆弱性の例を見る
バグの例
静的に指定しているリンク先に誤りがある
脆弱性の例
クロスサイトスクリプティングを使った脆弱性
💡クロスサイトスクリプティングについて
ウェブサイトに悪意のあるスクリプトを注入し、他のユーザーのブラウザでそのスクリプトを実行させる攻撃手法。
攻撃者は、フォームやURLに不正なコードを埋め込むことで、ユーザーのセッション情報や個人データを盗んだり、ブラウザで不正な動作をさせたりします。
普通は投稿と投稿内容を表示するページですが、
scriptを投稿することで、サイトに訪れた際にscriptが発火し作動しています
クロスサイトスクリプティングによる実際の被害
2ch で 意図せず「警視庁を爆破する 嘘です」という犯行予告文を送ってしまう事例
📝まとめ
今回の記事では、バグと脆弱性の違いについて簡単に学びました。バグは一般的な不具合であり、悪用されないものの、ユーザーの体験やシステムの正確さに影響を与える可能性があります。一方、脆弱性は悪用されるリスクがある不具合で、攻撃者によってセキュリティの破壊やデータの漏洩など深刻な被害を引き起こす可能性があります。
特にクロスサイトスクリプティング(XSS)ではユーザーのデータを盗まれたり、ブラウザで悪意のあるスクリプトが実行されることがあります。
実際のクロスサイトスクリプティングを例を提示することで、攻撃のイメージを明確にしました。
システム開発者にとって、バグと脆弱性の違いを理解し、適切な対策を取ることは非常に重要です。
これからもセキュリティに対する意識を高めて、実際のプロジェクトで学んだ知識を活かしていくことが求められます。
💨学習スケジュール
- 🟢(now) 【徳丸本 セキュリティ】バグと脆弱性の違いについて XSS(クロスサイトスクリプティング)を使って確認する
- 【徳丸本 セキュリティ】HTTPプロトコルのについて学ぶ
- 【徳丸本 セキュリティ】セッション管理について
- 【徳丸本 セキュリティ】XSS
- 【徳丸本 セキュリティ】SQLインジェクション
- 【徳丸本 セキュリティ】CSRF
- 【徳丸本 セキュリティ】WebAPI実装の脆弱性
- 【徳丸本 セキュリティ】DOMBasedXSS
- 【徳丸本 セキュリティ】セッション管理の不備
- 【徳丸本 セキュリティ】インジェクション
- 【徳丸本 セキュリティ】ディレクトリ・トラバーサル
- 【徳丸本 セキュリティ】ログイン機能
- 【徳丸本 セキュリティ】自動ログイン
- 【徳丸本 セキュリティ】アカウント管理
- 【徳丸本 セキュリティ】認可とログ出力
Discussion