手法 | サーバ側対策 | クライアント側対策 |
スヌープ攻撃(通信傍受) | ユーザ情報を送受信するサーバはhttpsに | |
中間者攻撃(不正ログイン、偽サイト、コンピュータウィルス) | ユーザ認証の二重認証化、 | アンチウィルスソフト |
インジェクション攻撃 | セキュリティホールとなるミドルウェアを置かない、静的サイト | |
バッファーオーバーフロー | ??? |
https://earthsimulation.blogspot.com/2018/11/blog-post_12.html
本ブログ内:インジェクション攻撃
https://earthsimulation.blogspot.com/2018/12/blog-post.html
●不正アクセスの対策!手口と事例を知って被害を防ぐ 2016
https://securitynavi.jp/1010
・不正ログインでの攻撃方法
- 総当たり攻撃(ブルートフォースアタック)
- 辞書攻撃
- パスワードリスト攻撃(不正ログイン後)
- コンピュータウイルス
・脆弱性を突いた不正アクセスの方法
- SQLインジェクション
- OSコマンドインジェクション
- クロスサイトスクリプティング(不正なURLを踏ませる)
- バッファオーナーフロー
- セッションハイジャック(通信内容の傍受)
●ネットワーク通信のセキュリティ機能
https://developer.apple.com/jp/documentation/NetworkingInternetWeb/Conceptual/NetworkingOverview/SecureNetworking/SecureNetworking.html
・スヌープ攻撃(伝送中のデータを覗き見る)
・中間者攻撃(プログラムとサーバの間に第三者が介在)
- 偽サーバによるスプーフィング、フィッシング
- タンベリング
- 認証情報を盗み見るセッションハイジャック
・インジェクション攻撃(巧妙に作ったデータを渡して、意図せぬコマンドを実行させる)
・バッファオーバーフロー、数値オーバーフロー(巧妙に作ったデータを渡して、任意のコードを実行させたり、秘密情報を漏えいさせる。)
●ほとんどのセキュリティ問題はインジェクション問題 – インジェクションパターンとして理解すると簡単 2018
https://blog.ohgaki.net/almost-all-security-issues-are-injections
(直接インジェクション)
・強制ブラウズ:特定のリソースに直接アクセスできる。
・認証漏れ:本来認証機能で保護されるべきリソースに保護されずにアクセスできる。
・直接SQLインジェクション
・直接コマンド実行
・DoS(サービス不能攻撃)
(間接インジェクション)
・クロスサイトスクリプティング:ブラウズを経由してインジェクション
・クロスサイトリクエストフォージェリー:認証済みブラウザのセッションを経由してアクセス
・間接SQLインジェクション:システムに保存されたデータを経由
・間接コマンド実行
・権限昇格
・XXE
・DoS
(その他)
・レースコンディション
●またも新手、サイバー対策、コストを抑える5つの掟 2018
https://www.nikkei.com/article/DGXMZO36552980W8A011C1000000/
ビジネスメール詐欺
マイニングマルウェア
(クラウド)
・AWS-WAF(検知・検疫)
・セキュリティグループ
(インターネット)
・SOC(Security Operation Center)
・CASB(検知・検疫)
(社内)
・ファイアウォール、IDS/IPS(入口・出口対策)
・プロキシサーバ
・EDRサーバ(検知・検疫)
・サンドボックス(検知・検疫)
・パーソナルファイアウォール(入口・出口対策)、ウィルス対策ソフト、管理エージェント
・認証サーバ
・ログ分析製品
(DMZ)
・脆弱性診断サービス
・Webアプリケーションファイアウォール
●情報セキュリティ(IPAセキュア・プログラミング講座)
https://www.ipa.go.jp/security/awareness/vendor/programming/
●APIのセキュリティ対策をガートナーが解説、具体的に押さえるべき3つのポイントとは(後編は要会員登録)
https://www.sbbit.jp/article/cont1/35205
●Webサーバーがハックされたときにやるべきこと 2015
https://qiita.com/ninoseki/items/a60459a76def17a47d0d
・事前の準備
・改竄の検知
・改竄検知後の対策
- 別サイトへのリダイレクト
- ・・・・・・・・
No comments:
Post a Comment