Recommended
More Related Content
Similar to web技術 〜セキュリティ編〜.pdf
Similar to web技術 〜セキュリティ編〜.pdf (20)
web技術 〜セキュリティ編〜.pdf
- 2. 目次(その1) ■ web周りの代表的な攻撃手法 ● パスワードクラッキング ● DoS攻撃 ● セッションハイジャック ● ディレクトリトラバーサル ● クロスサイトスクリプティング ● クロスサイトリクエストフォージェリ ● SQLインジェクション ● セキュリティーホール ● ゼロデイ攻撃
- 3. 目次(その2) → 次回勉強会にて説明予定 ■ セキュリティ強化のためのシステム ● ファイアーウォール ● IDS・IPS ● WAF ● 暗号化 ● 公開鍵証明書 ● 認証 ● 認可 ● CAPTCHA
- 5. パスワードクラッキング 会員制webサイトのユーザーのパスワードを抜き出そうとする攻撃 主には下記の2種類の攻撃方法が使用される。 ● 辞書攻撃 → よくパスワードに使用される言葉をまとめたファイルを用意して、その中身を使ってログインを試 みる手法 ● ブルートフォース → パスワードに使用される全部の文字の組み合わせを試して当てる方法 対策 ● パスワードの文字数を長くしたり、記号の入力を必須にするようにアプリケーション側で設定する。 ● 何回かログインに失敗したらそのユーザーの利用を停止する。
- 6. DoS攻撃 短時間にサーバー処理できないような大量のアクセスを行って、サービスを停止させる手法。 主に以下の2種類の攻撃方法がある。 ● SYN Flood攻撃 → SYNパケットのみを送り、ACKパケットを送らずサーバーを接続待ちにする。 (通常はクライアントがSYNパケットを送る。サーバーが SYN/ACKパケットを送る。クライアントが ACKパケットを送る。これでクライアントとサーバーの接続が確立される。) ● F5攻撃 → ひたすらF5を押して、リクエストを送り続けてサーバーに負荷をかける。 対策 ● 不自然なアクセスの増加を検知して、アクセスを送った IPアドレスのアクセスを制限する。
- 9. クロスサイトスクリプティング(XSS) 攻撃者が用意した悪意のあるサイトにユーザーがアクセスし、リンクをクリックする。その リンク内に個人情報を盗むスクリプトや、偽の情報が記載されたwebページを表示する スクリプトが実行される。 対策 ● webページに表示される全ての要素をエスケープ処理しておく。 ● HTTPレスポンスヘッダーに文字コードを設定する。(エスケープ処理を有効にする ため) ● cookieにHTTPonly属性を加えて、TRACEメソッドを無効化する。etc… ref: https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_5.html
- 11. SQLインジェクション DBと連携を行っているであろう画面で、本来発行されるSQL文の他に、DBが解釈でき る内容を注入することでDBに意図しない動作をさせる手法。(データ改竄 or 個人情報 の流出) 対策 ● バリデーションでSQL文として使用される特殊文字の入力を防ぐ ● SQL文の特殊文字をエスケープ処理する。
- 14. ゼロデイ攻撃 セキュリティホールに対する修正プログラムが開発される前にセキュリティホールに攻撃 を行うこと 対策 ● セキュリティホールの少ない or 修正プログラムの配布スピードの早い製品を使用 する
- 15. 目次(その2) → 今回説明 ■ セキュリティ強化のためのシステム ● ファイアーウォール ● IDS・IPS ● WAF ● 暗号化 ● 公開鍵証明書 ● 認証 ● 認可 ● CAPTCHA
- 16. ファイアーウォール サービスに必要な通信のみを許可し、それ以外の通信を拒否する。 ■ 主な種類と特徴 1.パケットフィルタリング型 ・通信されるデータを「パケット」と呼ばれる小さな単位ごとに分析する方式。 ・パケットのヘッダー情報に含まれているIPアドレスをチェックして、通信の許可 or 拒否を行う。 ・検査するのみで処理が単純なため、通信速度を確保できるというメリットがありますが、仕組み上、パケットの中身までは検査しないため偽装されたパケットの検知や、アプリ ケーションの脆弱性を狙った攻撃を防ぐことはできません。一般的なセキュリティ対策法として知られています。 2.アプリケーションゲートウェイ型 ・HTTP、FTPなどのアプリケーションプロトコルごとに制限ルールを設定できるので、高機能。反面、データの中身まで解析するため処理に時間がかかり通信速度が低下すると いうデメリットがあります。 3.サーキットレベルゲートウェイ型 ・パケットフィルタリング型の機能に加え、ポートを指定することによって通信の可否を設定できる。また、アプリケーションごとの設定が可能なため、特定のシステムやソフトウェ アの通信制御を行う際にも有効です。(このアプリケーションからの通信は80番しか許可しないなど。)
- 17. IDS・IPS ネットワークの不正アクセスを検知するシステム IDS:不正侵入の検知 IPS:不正侵入の防御 → こっちの方が強固だけど、誤検知が発生した場合にはIPSだと通信が遮断されるので可用性が落ちる。セキュリティ よりも可用性を重視したい場合にはIDSを使用するという選択肢も生まれる。 ■ 検知方法 シグネチャ型:ブラックリスト方式 → 未知の攻撃に対しては弱いが、一度受けた攻撃に関しては防御できるし、アノマリー型と比べて管理す る手間は少ない。 アノマリー型:ホワイトリスト方式 → 都度ホワイトリストを管理する手間がかかる。 ■ 監視方法 ネットワーク型:ネットワーク内を通る、データの中身を検知。導入台数はホスト型と比べて少なくなる。ただ、サーバーの検知はできない。 ホスト型:検知対象のサーバーに設置、不正侵入検知のほかに、ファイルの改竄やサーバー内の不審な動きも検知できる。