(2023年1月10日に学習しました。)
授業内容
第5回:Webセキュリティ
第1講:Webセキュリティの基本・・・16分13秒
第2講:さまざまな攻撃手法・・・16分40秒
第3講:攻撃を防ぐしくみ・・・13分44秒
第4講:認証と認可・・・17分30秒
(第5回全体)
講義時間:64分07秒
テキスト:56ページ
授業振り返り
情報セキュリティの原則(3つ)
機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のことです。
それぞれの頭文字をとって「CIA」ともいいます。
パスワードクラッキング
パスワードを盗もうとする攻撃のことです。
攻撃手法としては、次の2つがあります。
★辞書攻撃
パスワードによく使われる単語をまとめたものを作り、それを参考にし、次々とログインを試みようとする。
★ブルートフォース攻撃
あらゆる文字の組合せを使い、ログインを試みようとする。
様々な攻撃手法
Webセキュリティを脅かす攻撃手法をまとめました。
似た名前のものもあるので、混乱しそうです。(>_<)
★DoS攻撃
パケット・リクエストを大量に送り付けて、Webサーバを機能不全に陥らせます。
主な攻撃手法は次の2つがあります。
SYN Flood攻撃:TCPのやりとりでSYNパケットだけを大量に送り付ける
FS攻撃:Webページ再読込リクエストを大量に送る
★DDoS攻撃(Distributed Denial of Service attack)
トロイの木馬などマルウェアを使い、複数のコンピュータを乗っ取ります。そのコンピュータを踏み台にしてDoS攻撃を行うこと。
★セッションハイジャック
CookieよりセッションIDを盗み、ログイン済みのユーザーとしてシステムを利用すること。この攻撃により、攻撃者はIDやパスワードを知ることなくシステムにアクセスできるようになります。
★ディレクトリトラバーサル
Webで公開していないディレクトリにアクセスし、機密情報を取得すること。
★クロスサイトスクリプティング(XSS)
ユーザーが使用するブラウザに悪意のあるスクリプトを送り込むこと。
★クロスサイトリクエストフォージェリ(CSRF)
本人になりすましてログインに必要なサイトを操作すること。
★SQLインジェクション
DBに送信する情報にDBが解釈できる内容を混ぜ込むことで、DBに意図しない動作を行わせること。
コメント