インターネット技術Ⅱ(第5回)

202204 東京通信大学

Photo by StockSnap, Pixabay

(2023年1月10日に学習しました。)

授業内容

第5回:Webセキュリティ
第1講:Webセキュリティの基本・・・16分13秒
第2講:さまざまな攻撃手法・・・16分40秒
第3講:攻撃を防ぐしくみ・・・13分44秒
第4講:認証と認可・・・17分30秒

(第5回全体)
講義時間:64分07秒
テキスト:56ページ

授業振り返り

情報セキュリティの原則(3つ)

機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)のことです。
それぞれの頭文字をとって「CIA」ともいいます。

パスワードクラッキング

パスワードを盗もうとする攻撃のことです。
攻撃手法としては、次の2つがあります。

★辞書攻撃
パスワードによく使われる単語をまとめたものを作り、それを参考にし、次々とログインを試みようとする。

★ブルートフォース攻撃

あらゆる文字の組合せを使い、ログインを試みようとする。

様々な攻撃手法

Webセキュリティを脅かす攻撃手法をまとめました。
似た名前のものもあるので、混乱しそうです。(>_<)

★DoS攻撃
パケット・リクエストを大量に送り付けて、Webサーバを機能不全に陥らせます。
主な攻撃手法は次の2つがあります。
SYN Flood攻撃:TCPのやりとりでSYNパケットだけを大量に送り付ける
FS攻撃:Webページ再読込リクエストを大量に送る

★DDoS攻撃(Distributed Denial of Service attack)
トロイの木馬などマルウェアを使い、複数のコンピュータを乗っ取ります。そのコンピュータを踏み台にしてDoS攻撃を行うこと。

★セッションハイジャック
CookieよりセッションIDを盗み、ログイン済みのユーザーとしてシステムを利用すること。この攻撃により、攻撃者はIDやパスワードを知ることなくシステムにアクセスできるようになります。

★ディレクトリトラバーサル
Webで公開していないディレクトリにアクセスし、機密情報を取得すること。

★クロスサイトスクリプティング(XSS)
ユーザーが使用するブラウザに悪意のあるスクリプトを送り込むこと。

★クロスサイトリクエストフォージェリ(CSRF)
本人になりすましてログインに必要なサイトを操作すること。

★SQLインジェクション
DBに送信する情報にDBが解釈できる内容を混ぜ込むことで、DBに意図しない動作を行わせること。

コメント

タイトルとURLをコピーしました