クロスサイトスクリプティング(XSS)
ユーザが利用しているブラウザから悪意のあるJavascriptが実行され、ページ改ざんやクッキーの盗難にあう
対処:ブラウザーサーバ間で送受信される文字データを全てエスケープ処理する
SQLインジェクション
悪意あるSQL文が挿入された状態でクエリが実行され、データベース内の情報を改ざんされる
対処:サーバサイドプリペアドステートメントを利用する
セッションハイジャック
ログイン状態維持に使われるセッションIDが盗用され、ログイン権限で勝手に操作される
対処1:セッションIDが推測されないよう、セッションIDはサーバサイドプログラムで自動生成する
対処2:セッションIDが盗まれないよう、セッションIDの保存はクッキーで行う
対処3:セッションIDが固定化されないよう、ログイン成功後にセッションIDを再発行する
クロスサイトリクエストフォージェリ(CSRF)
ログイン中に別サイトを閲覧し、悪意あるHTTPリクエストがログイン中のサーバへ送られ操作される
対処1:リクエスト発行にトークンを埋め込む
対処2:リクエスト実行の直前にパスワードを求める
対処3:リクエスト発行元のチェック
参考:
IPA セキュアプログラミング講座
プロになるためのPHPプログラミング入門
久々の超良書です。しばらく参考にさせていただきます。
0 件のコメント:
コメントを投稿