○クロスサイトスクリプティング

Web閲覧者により入力された内容を画面表示するWebページ内にて、攻撃者が入力内容に罠(スクリプト)を混ぜ込むことで、別のWebサイトを表示し、Web閲覧者に個人情報などを送らせてしまう攻撃。

 

○SQLインジェクション

データベースのデータを操作するWebサイトで、文字を巧みに入力してデータを盗み見・改ざんする攻撃。

 

○OSコマンドインジェクション

Webサイトの入力欄にOSの操作コマンドを埋め込んでWebサーバに送信し、Webサーバを不正に操作する攻撃。

 

○ディレクトリリスティング

Webサーバ内のファイル一覧やディレクトリ一覧を表示する機能。

この機能を無効化しておかないと悪用され、攻撃者にファイルを盗まれる危険性があります。

 

○ディレクトリトラバーサル

攻撃者が相対パス記法を悪用して、Webサイト内にあるインターネット上では非公開のファイルを閲覧・削除・改ざんする攻撃。

 

○スクリプト攻撃の対策

・文字を特殊文字に置き換えるエスケープ処理などにより無害化するサニタイジングを施したWebサイトを構築する。

・最終確認で、パスワードを改めて入力させて確認するWebサイトを構築する。

・WAFを使う。