2008年3月アーカイブ

Web のドキュメントルートの外に存在すると思われるファイルやディレクトリ、コマンドに、無理やりアクセスできてしまう脆弱性です。

HTTPのTRACEメソッドを悪用して、クライアントのクッキーと認証を傍受することのできる脆弱性です。

ログイン後の画面などで、セッション管理をしている場合、セッション情報が盗まれてしまう脆弱性です。

Web サイト自体が持つ特徴や機能を利用して攻撃することができる脆弱性です。

サニタイジングとは、Webアプリの入力フォームなどから入力されたデータから危険な文字を検出し、無害化する処理です。

ロボットなどによるWebサーバーへの連続攻撃を行い、Webサーバに負荷をかけたりする攻撃に対処できない脆弱性です。

サイトを偽装して、あたかも正規のサイトであるように見せかけ、ID・パスワードなどの重要な情報を盗み取る手口。

偽メールで正規のサイトからのメールに成りすましてURLを送りつけ、「XSS」や「スクリプトの実行」など、サイトの改ざんができる脆弱性を利用してフィッシング詐欺サイトへ誘導するケースが主流。
その他多種多様な形態のフィッシング詐欺の方法があるので、利用者は十分に注意してサイトへのパスワード入力を行う必要がある。特にお金の絡むサイトで、不自然な動きやいつもと違う表示がある際には十分に注意が必要。
Webサイト管理者は、自身のサイトで「フィッシング詐欺」が行われないように脆弱性を対策しておくことが必要となる。

ログイン後の画面などで、セッション管理をしている場合、攻撃者が任意のセッション情報を使って、ログイン後の画面に遷移することができる脆弱性です。

アプリケーションの予期しないデータを送り、アプリケーションを異常終了させられる脆弱性です。

Webサーバの想定していないスクリプトが実行されてしまう脆弱性です。

Webサーバ内のファイルの一覧を表示してしまう脆弱性です。

認証時に使用するセッション情報の有効期限を正しく管理していない場合の脆弱性です。

偽のコンテンツをあたかも正式なものであるかのように装ってウェブサイトに表示することを許してしまう脆弱性です。

サイトをまたがって不正な要求を送り、ユーザが意図していない操作を実行させられてしまいます。

管理者や上位のユーザ権限などに一般ユーザがアクセスできてしまう脆弱性です。

WebサーバからOSのコマンドを不正に実行されてしまう脆弱性です。

Webサーバから意図していない内部情報が外部に漏洩する脆弱性です。

Web のドキュメントルートの外に存在すると思われるファイルやディレクトリ、コマンドに、無理やりアクセスできてしまう脆弱性です。

XMLデータにスクリプト等を混入して攻撃されてしまう脆弱性です。

Webサイトでパラメタなどの入力情報からXPathクエリを作成していることを利用し、攻撃者が任意のXPathクエリを実行できてしまう脆弱性です。

ユーザがパスワードを忘れた際の回復方法に問題があり、情報が漏えいする脆弱性です。

攻撃者がWebサイトのパラメタを不正に改ざんした際に、それを検知することができない脆弱性です。

内部のリソースの配置が簡単に推測できるという脆弱性です。

Webサーバ、DBサーバ、言語の種類やバージョン情報が公開されている脆弱性です。

セッション情報が規則的に割り振られているなど、セッション情報が推測しやすい脆弱性です。

正常な画面遷移を無視して特定の画面にアクセスされてしまう脆弱性です。

Dos攻撃などにより、Web サーバが一般ユーザへ提供するサービスを妨害する攻撃手法です。

正常なログイン処理を介さずにログイン後の画面にアクセスできてしまう脆弱性です。

ユーザ名やパスワード、クレジットカード番号、暗号鍵を推測する目的で、トライアンドエラーを繰り返す攻撃方法を「総当たり攻撃 」と言います。