😸
アプリケーションでの攻撃を体系的にまとめてみた
結論
機能とは
- 業務内容に直結する
- 利用者が自分の口で説明できる
- ユーザ(顧客)がシステムに対して求めている機能(顧客向けの説明?)
攻撃の種類
- 不正アクセス()
- 傍受
- 同じネットワーク上にいる場合、ネットワークトラフィックを盗聴してセッションIDを盗む攻撃。暗号により解読できなくなるため、通信のHTTPS化が有効。
- 傍受
- クレデンシャルスタッフィング(大量のユーザ名、パスワードの組み合わせを利用して、不正アクセスを試みる攻撃)
- 辞書攻撃(ディクショナリー)
- 「よく利用される」パスワード、「一般的な」単語・名前・数字の組み合わせが記載されたリストを順番に入力してログインを試みる攻撃。パスワード一般的なものである場合に有効。パスワードポリシー(要件)の設定(長さ、文字種、一般的な単語の禁止含む)、多要素認証、アカウントロックが対策として有効。
- 総当たり攻撃(ブルートフォース)
- 「考えられる限りの大量の組み合わせ」のパスワードをすべて試してログインを試みる攻撃。パスワードポリシーによっては膨大な時間が掛かるが、強力なパスワードも突破できる。パスワードポリシー(要件)の設定、アカウントロックアウト、CAPTCHAの導入が対策として有効。
- 組み合わせ攻撃(コンビネーション)
- 辞書攻撃と総当り攻撃を組み合わせた攻撃。効率的ではあるが、複雑なため準備が必要。
- 辞書攻撃(ディクショナリー)
- セッションハイジャック(有効なセッションIDを)
- 傍受
- 同じネットワーク上にいる場合、ネットワークトラフィックを盗聴してセッションIDを盗む攻撃。
- 傍受
- アカウント情報の漏洩
Discussion