システムへの各種攻撃とその対策
[頻出単語]
DNSキャッシュポイズニング
説明:DNSサーバのドメイン情報を書き換えて別のサーバへ誘導する。
対策:DNSサーバのバージョンを最新化
DoS攻撃
説明:サーバに負荷をかけてダウンさせる。
対策:不正な通信のブロック、不要なポートを閉じる
DDoS攻撃
説明:DoS攻撃を複数箇所から一斉に行う(F5アタックとか)。
SQLインジェクション
説明:Webページ上で不正なSQLを実行してDB内を不正に閲覧、操作する。
対策:バインド機構*の利用、エスケープ処理
*バインド機構…SQLのひな型に値を入れて実行する方法
Webビーコン
説明:Webページに小さい画像を埋め込んで悪意のあるプログラムを実行させる。
対策:画像の読み込みのブロック
クロスサイトスクリプティング
説明:悪意のあるスクリプト入りのURLを攻撃対象のWebページに張り付ける。
対策:「'」や「"」の特殊文字を無効化
辞書攻撃
説明:推測されるパスワードで総当たりを行ってパスワードを盗み出す。
対策:推測されるようなパスワードを設定しない
セッションハイジャック
説明:セッションを乗っ取ってなりすまし攻撃を行う。
対策:セッションの暗号化や乱数化、ポート番号をランダムに選択
ソーシャルエンジニアリング
説明:関係者になりすましてパスワードを聞き出す。
対策:本人確認を行う
フィッシング
説明:偽物のWebページを用意して誘導し、個人情報等を盗み出す。
対策:あやしいURLにアクセスしない、変なサイトを見ない
ブルートフォース攻撃
説明:文字列の全ての組み合わせで総当たりを行ってパスワードを盗み出す。
対策:パスワードに数字や英語や記号を混ぜる、パスワード文字列を長くする
ポートスキャン
説明:空いているポートを見つけ出して攻撃を行う。
対策:不要なポートを閉じる
[頻出ではない単語]
IPスプーフィング
説明:偽装したIPパケットを送ってファイアウォールをすり抜けて攻撃する。
対策:フィルタリングルールの設定
OSコマンドインジェクション
説明:Webページ上で不正なコマンドを実行して不正に操作する。
対策:Webページ上からはコマンドをたたけないようにする
クロスサイトフォージェリ
説明:利用者がログイン状態であることを利用して不正な操作を行う。
対策;ログアウト徹底、WAFを設定
バッファオーバーフロー
説明:サイズの大きいデータを送り込みバッファをあふれさせる
対策:サイズチェックを実行