2013-12-09から1日間の記事一覧

セッションハイジャック

セッション管理の不備 ウェブアプリケーションによっては、セッションIDをユーザーに付与することで、 管理を行っているサイトもあり セッションIDに不備がある場合、悪意のある第三者に不正に取得され、その利用者に なりすま し、利用されてしまう可能性が…

ディレクトリトラバーサル

パス名パラメータの未チェック/ディレクトリトラバーサル 本来は利用するユーザーには、閲覧できないようにしなければいけないファイルなどが ブラウザから直接ファイル名を指定することで閲覧できてしまう等の現象です。 発生する可能性のある脅威 サーバー…

OSコマンド・インジェクション

OSコマンド・インジェクション 外部からの攻撃により、OSコマンドを不正に実行されてしまう問題を持つ可能性があります。 発生する可能性のある脅威 サーバー内のファイル閲覧/改ざん/削除 システム操作 不正なプログラムのダウンロード/実行 他のシステムへ…

SQLインジェクション

SQLインジェクション 利用者からの入力情報を元に、SQL文を構築している場合、SQL本文に問題があると 悪意を持った第三者に不正に利用される可能性があります。 発生する可能性のある驚異 データベースに格納されている情報の閲覧 データベースへの情報変更/…