(*_*)←よく使います
- 前ページ
- 次ページ
昔勉強したことの復讐
・SMTPサーバ
電子メールの送信するためのサーバ
学生の場合は通学先の大学、会社員の場合は勤務先の企業、
家庭ユーザの場合は契約しているインターネットサービスプロバイダが保有し、運用している。
・POP3サーバ
電子メールを受信するためのサーバ
・メールサーバ
その名の通り、メールを利用するためのサーバです。使用する側には単純に見えますが、実際にはある程度の知識が必要です。
内部では、SMTPサーバ、POPサーバ、IMAPサーバのやりとりによって受信、送信、転送、保存を行っています。LinuxではSMTPにsendmailなどが多く利用されます
・FTPサーバ
FTPとはファイル転送に使用するプロトコルです。古くから存在しており、インターネット上でも多く利用されます。
・Webサーバ
プロトコルにhttpを使用するのでHTTPサーバともいいます。
InternetExplorerやNetscapeなどのようなwebブラウザからのリクエストに対して、HTMLファイルやイメージファイルを送信します。
・プロキシサーバ
プロキシとは"proxy"(代理)という意味ですが、プロキシサーバはクライアントマシンの代わりにwebサイトにアクセス、データをキャッシュしておき高速にwebブラウズすることが可能になります。
・DHCPサーバ
TCP/IP【インターネットやイントラネットで標準的に使われるプロトコル】を使用して通信をする場合、IPアドレスなどのネットワーク情報をマシン一台ごとに設定しなければなりませんが、DHCPサーバを利用すればサーバ側の設定の変更だけで済みます。
・DNSサーバ
すべてのネットワーク上ではIPアドレスを使用しますが、4つの階層に分割した0~255までの数字を人間がそのまま利用することは困難です。
クラウドコンピューティング(英:cloud computing)とは、ネットワーク、特にインターネットをベースとしたコンピュータの利用形態である。ユーザーはコンピュータ処理をネットワーク経由で、サービスとして利用する。
セキュリティリスク 解説
・インジェクション
SQL,OS,LDAP インジェクションなどのインジェクション脆弱性は,信頼できないデータがコマンドやクエリの一部としてインタプリタに送信されたときに顕在化する。攻撃者の敵意のあるデータにインタプリタが欺かれることによって,意図しないコマンドの実行や,許可されないデータの参照が可能になる。
・クロスサイトスクリプティング (XSS)
XSS 脆弱性は,アプリケーションが信頼性の低いデータを取得して,適切な検証やエスケープを行わないままブラウザに送信する場合に起きる。攻撃者は XSS を利用して,ユーザセッションのハイジャックや Web サイトの棄損,あるいは悪意のあるサイトへのリダイレクトなどを行うスクリプトを,犠牲者のブラウザ上で実行することができる。
・不完全な認証およびセッション管理
多くのアプリケーションは,認証やセッション管理に関連する機能を正しく実装できていない。そのためパスワード,キー,セッショントークンなどの漏洩や,脆弱性を利用した他ユーザへの「なりすまし」が行われる可能性がある。
・安全でないオブジェクトの直接参照
ファイルやディレクトリ,データベースキーなど,内部の実装オブジェクトへの参照が公開されていると,オブジェクトへの直接参照が可能になる。アクセス制御チェックやその他のプロテクトがなければ,攻撃者はこれらの参照を操作して,承認されないデータをアクセスすることができる。
・クロスサイト要求偽造 (Cross Site Request Forgery / CSRF )
CSRF 攻撃は脆弱性を持った Web アプリケーションに対して,犠牲者がログオンしているブラウザから,セッションクッキーなど認証情報を含んだ偽造 HTTP 要求を送信させるものだ。これによって攻撃者は,攻撃対象となるアプリケーションが正当な要求と判断するようなリクエストを,犠牲者のブラウザに生成させることが可能になる。
・不適切なセキュリティ設定
セキュリティはアプリケーションやフレームワーク,web サーバ,アプリケーションサーバ,プラットフォームのセキュアな設定に依存している。出荷時のデフォルト設定はたいていの場合セキュアではないので,これらはすべて再定義と設定の実施,そしてメンテナンスが必要だ。
・URL アクセス制限の失敗
多くのアプリケーションでは,保護されたリンクやボタンを表示する前に UR アクセスの正当性をチェックしている。これらのページをアクセスする時にも,これと同じようなアクセス制御が必要だ。そうでなければ攻撃者は結局,隠されたこれらのページにアクセスする URL を偽装できてしまうだろう。
・未検証のリダイレクトとフォワード
Web アプリケーションはよく,ユーザを他のページや Web サイトにリダイレクトあるいはフォワードする。その行き先ページを決定するために信頼できないデータが使用されることも多い。適切な検証を行わなければ,攻撃者はフィッシングやマルウェアサイトに犠牲者をリダイレクトさせたり,あるいはフォワードを利用して認証されていないページにアクセスすることができてしまう。
・安全でない暗号化ストレージ
クレジットカードやSSN,認証パスワードといった重要なデータを,適切な暗号化やハッシュを使用して保護していない Web アプリケーションは多い。攻撃者はこのような保護の弱いデータを,個人情報の盗用やクレジットカード詐欺,その他の犯罪に利用するかも知れない。
・不十分なトランスポート層保護
重要な通信を保護する必要があるときでも,ネットワーク情報が暗号化されていない場合が多い。また暗号化に脆弱なアルゴリズムを使用していたり,証明が期限切れや無効であったりなど,適切な利用ができていないことがある。
・SMTPサーバ
電子メールの送信するためのサーバ
学生の場合は通学先の大学、会社員の場合は勤務先の企業、
家庭ユーザの場合は契約しているインターネットサービスプロバイダが保有し、運用している。
・POP3サーバ
電子メールを受信するためのサーバ
・メールサーバ
その名の通り、メールを利用するためのサーバです。使用する側には単純に見えますが、実際にはある程度の知識が必要です。
内部では、SMTPサーバ、POPサーバ、IMAPサーバのやりとりによって受信、送信、転送、保存を行っています。LinuxではSMTPにsendmailなどが多く利用されます
・FTPサーバ
FTPとはファイル転送に使用するプロトコルです。古くから存在しており、インターネット上でも多く利用されます。
・Webサーバ
プロトコルにhttpを使用するのでHTTPサーバともいいます。
InternetExplorerやNetscapeなどのようなwebブラウザからのリクエストに対して、HTMLファイルやイメージファイルを送信します。
・プロキシサーバ
プロキシとは"proxy"(代理)という意味ですが、プロキシサーバはクライアントマシンの代わりにwebサイトにアクセス、データをキャッシュしておき高速にwebブラウズすることが可能になります。
・DHCPサーバ
TCP/IP【インターネットやイントラネットで標準的に使われるプロトコル】を使用して通信をする場合、IPアドレスなどのネットワーク情報をマシン一台ごとに設定しなければなりませんが、DHCPサーバを利用すればサーバ側の設定の変更だけで済みます。
・DNSサーバ
すべてのネットワーク上ではIPアドレスを使用しますが、4つの階層に分割した0~255までの数字を人間がそのまま利用することは困難です。
クラウドコンピューティング(英:cloud computing)とは、ネットワーク、特にインターネットをベースとしたコンピュータの利用形態である。ユーザーはコンピュータ処理をネットワーク経由で、サービスとして利用する。
セキュリティリスク 解説
・インジェクション
SQL,OS,LDAP インジェクションなどのインジェクション脆弱性は,信頼できないデータがコマンドやクエリの一部としてインタプリタに送信されたときに顕在化する。攻撃者の敵意のあるデータにインタプリタが欺かれることによって,意図しないコマンドの実行や,許可されないデータの参照が可能になる。
・クロスサイトスクリプティング (XSS)
XSS 脆弱性は,アプリケーションが信頼性の低いデータを取得して,適切な検証やエスケープを行わないままブラウザに送信する場合に起きる。攻撃者は XSS を利用して,ユーザセッションのハイジャックや Web サイトの棄損,あるいは悪意のあるサイトへのリダイレクトなどを行うスクリプトを,犠牲者のブラウザ上で実行することができる。
・不完全な認証およびセッション管理
多くのアプリケーションは,認証やセッション管理に関連する機能を正しく実装できていない。そのためパスワード,キー,セッショントークンなどの漏洩や,脆弱性を利用した他ユーザへの「なりすまし」が行われる可能性がある。
・安全でないオブジェクトの直接参照
ファイルやディレクトリ,データベースキーなど,内部の実装オブジェクトへの参照が公開されていると,オブジェクトへの直接参照が可能になる。アクセス制御チェックやその他のプロテクトがなければ,攻撃者はこれらの参照を操作して,承認されないデータをアクセスすることができる。
・クロスサイト要求偽造 (Cross Site Request Forgery / CSRF )
CSRF 攻撃は脆弱性を持った Web アプリケーションに対して,犠牲者がログオンしているブラウザから,セッションクッキーなど認証情報を含んだ偽造 HTTP 要求を送信させるものだ。これによって攻撃者は,攻撃対象となるアプリケーションが正当な要求と判断するようなリクエストを,犠牲者のブラウザに生成させることが可能になる。
・不適切なセキュリティ設定
セキュリティはアプリケーションやフレームワーク,web サーバ,アプリケーションサーバ,プラットフォームのセキュアな設定に依存している。出荷時のデフォルト設定はたいていの場合セキュアではないので,これらはすべて再定義と設定の実施,そしてメンテナンスが必要だ。
・URL アクセス制限の失敗
多くのアプリケーションでは,保護されたリンクやボタンを表示する前に UR アクセスの正当性をチェックしている。これらのページをアクセスする時にも,これと同じようなアクセス制御が必要だ。そうでなければ攻撃者は結局,隠されたこれらのページにアクセスする URL を偽装できてしまうだろう。
・未検証のリダイレクトとフォワード
Web アプリケーションはよく,ユーザを他のページや Web サイトにリダイレクトあるいはフォワードする。その行き先ページを決定するために信頼できないデータが使用されることも多い。適切な検証を行わなければ,攻撃者はフィッシングやマルウェアサイトに犠牲者をリダイレクトさせたり,あるいはフォワードを利用して認証されていないページにアクセスすることができてしまう。
・安全でない暗号化ストレージ
クレジットカードやSSN,認証パスワードといった重要なデータを,適切な暗号化やハッシュを使用して保護していない Web アプリケーションは多い。攻撃者はこのような保護の弱いデータを,個人情報の盗用やクレジットカード詐欺,その他の犯罪に利用するかも知れない。
・不十分なトランスポート層保護
重要な通信を保護する必要があるときでも,ネットワーク情報が暗号化されていない場合が多い。また暗号化に脆弱なアルゴリズムを使用していたり,証明が期限切れや無効であったりなど,適切な利用ができていないことがある。