🕌
【初学者によるまとめ】この一冊で全部わかるWeb技術の基本 「Chapter 5」>「03 Webシステムの特徴を利用した攻撃」
- 目的:「イラスト図解式 この一冊で全部わかるWeb技術の基本」の要点を自分なりにまとめアウトプットして理解力の向上に努める。
- 今まで「きれいにまとめる」事に時間を割きすぎていたためポイントを抑えるイメージで学習する方針へ変更
| 注意点 |
|---|
| 🤔 ←この絵文字の文章は個人的な見解になります。的外れなこともあるかと思います。 |
| 例)🤔<(感想、考察、疑問点など) |
(参考書籍)
(参考サイト)
Webシステム以外に対する攻撃
セッションハイジャック
hijack (ハイジャック) ... 不法に輸送機関などの強奪や乗っ取りを行うこと
- Cookie 自体が通信時において送受信し合うため「通信の盗聴」が主な原因
対策
- 通信の暗号化
- 不可解なIPアドレスの相違の発生
ディレクトリトラバーサル
- URLは「リソースの場所」を意味する文字列であり、"相対パス"といった場所の指定方法もあるため、「https://sample.co.jp/contents」のところを「https://sample.co.jp/../secret_info.json」のようなアクセスの仕方が可能である
- このように「ファイル名を直接指定された場合」「相対パス指定によるファイルのアクセス」などによって公開していない情報の不正アクセスを許してしまうことが考えられる
Traversal (トラバーサル) ... 横断
→ "ディレクトリトラバーサル"は「悪意を持ってディレクトリを"横断"する攻撃」
対策
- リクエストに含まれるURLのチェック処理を行い、公開していないファイルへのアクセスを防ぐ
Discussion