SC試験対策-サイバー攻撃

バッファオーバーフロー

プログラムの一時記憶領域の長さを超えるデータを送り込んでバッファの後ろにあるメモリ領域を壊して動作不能にしてプログラムを上書きする攻撃。

カナリアコード

を埋め込んで、上書きされた時に警告するなどして対策できるらしい。
（そんなめんどくさいことやってる人いるのか？）
自分ならバリデーションチェックなどで異常なデータが入らないようにしたいかな。

クロスサイトスクリプティング

反射型

ユーザ入力項目に埋め込まれたスクリプトに対する応答をレスポンス内に回答してしまう。

格納型

ユーザ入力項目に埋め込まれたスクリプトを一旦保存し、その結果をレスポンスにかえしてしまう。
埋め込んだユーザとレスポンスを返してしまうユーザが別になる場合もある。

DOM型

Webページの正常なDOM制御に対して、意図しないスクリプトを出力させる。

エスケープ処理

をほどこして、意味ある特殊記号などを無効化するのが定型対策。

クロスサイトリクエストフォージェリ

Webサイトにログイン中のユーザのスクリプトを操りターゲットサイトに被害を与える。

クリックジャッキング

ボタンやリンクを隠したりしてクリックを誘い、ユーザの意図しない動作をさせる。

ディレクトリトラバーサル

Webサーバのパス名に上位のディレクトリを指す記号を入れることで、非公開のサイトにアクセスする攻撃。

ドライブバイダウンロード

Webブラウザなどを通じてユーザに気づかれないようソフトをダウンロードさせる。

SQLインジェクション

不正なSQLを投入することで通常はアクセスできないデータにアクセスしたり更新したりする。

プレースホルダ

を使うことによって、入力値から悪意あるSQL組立ができないようにする。

OSコマンドインジェクション

不正なOSコマンドを実行させる攻撃。

HTTPヘッダインジェクション

レスポンス内に悪意あるヘッダフィールドやボディを埋め込む。

DLLインジェクション

不正なDLLを読み込ませる。

参考書籍

徹底攻略 情報処理安全確保支援士教科書 令和6年度 | ブックライブ