• はてなブックマークに追加
  • Yahoo!ブックマークに登録
「サーバエンジニア日記」の小悪魔女子大生がTech総研に降臨
小悪魔のイラスト日記6 プレゼントは情報セキュリティ
クロスサイトスクリプティング、SQLインジェクション。当然知ってるエンジニアもいれば、「え?」と思う人もいるでしょう。今回のテーマは「情報セキュリティ」。ライブドア執行役員の伊勢幸一氏の講義を、小悪魔がイラストにしました。ちょっと早いですけど、小悪魔からのクリスマスプレゼントです!
(取材・文・イラスト/aico 講師・監修/伊勢幸一 総研スタッフ/高橋マサシ) 作成日:11.12.15

今回はこあくまからのクリスマスプレゼント企画です! 情報セキュリティにおけるクロスサイトスクリプティング、SQLインジェクションについてです!


情報セキュリティとは、情報漏れを防ぐ機密性、改ざんを防ぐ完全性、データクラッシュやDDOS攻 撃を防ぐ可用性を維持することをいいます。
今回はその機密性と完全性を脅かすクロスサイトスクリプティングとSQLインジェクションについて教えてもらいました!


クロスサイトスクリプティングとは、Aのサイトにある入力フォームなどから、悪意のあるスクリプ ト(命令)を入力し、次にそのサイトを閲覧したユーザのブラウザがそのスクリプトを知らずに実行 してしまうことで、別のBサイトからウイルスをダウンロードさせたり、悪意あるプログラムを実行してブラウザに含まれるユーザの個人情報などを奪う攻撃のことをいいます。


最初のスクリプトはAのサイトに書き込まれ、次に、アクセスしたユーザのブラウザがそれを 実行することによって別サイトへアクセスさせたり、ブラウザのCookieを別サイトへ転送したりするのです。


たとえば、悪意ある攻撃者がブラウザのCookieを奪うようなスクリプトを仕込んでいたとすると、 ユーザはそのページをブラウザでアクセスしただけで個人情報をとられてしまったりします。


このように第三者によって元のWebページにスクリプトが埋め込まれる可能性のあるセキュリティ上の弱点を、クロスサイトスクリプティングの脆弱性といいます。


そして、そのクロスサイトスクリプティングの脆弱性を衝かれ、システムへの侵入や乗っ取り、個 人情報漏洩をゆるしていまうことが情報セキュリティにとって大変な脅威なのです! それを防ぐにはフォーム入力にHTMLタグや特殊文字が入力された場合に、それを無効にする処理が必要なのです。


SQLインジェクションは、SQLの利用して不正にデータベースを操作されてしまう攻撃のことをいいます。


SQLとは、リレーショナルデータベースを操作するための言語です。


データベースとは、様々な目的を考慮して様々な情報形式で得られるように、 整理整頓されたデータのあつまりです。


リレーショナルデーターベースは、表(テーブル)によってデータモデルが表現され、複数の表を関連づけて、全てのデータを巨大なデータベースとして活用しています。
そのリレーショナルデータベースを操作する言語がSQLなのです。 Webサイトではユーザのフォームへ入力した値からSQL文を作り、データベースへ入力します。


SQLインジェクションとはこのフォーム入力に不正なSQL文を入力し、データベースから情報を抜き 取ったり改ざんしたり破壊したりする攻撃です。


そこで、SQL文を作るためのフォーム入力ではSQL言語で使われる「;」「'」といった制御文字や特殊文字を無効にする必要があるのです!


「';」や「; #」を除きました。


今回は情報セキュリティについて伊勢さんに教えてもらいました!


こあくまもブログを持っているので、とくにXSSに興味を持ちました。
みなさんのブログは大丈夫ですかー??チェックしてみてくださいね!


株式会社ライブドア
情報環境技術研究室
執行役員 CTA 室長
伊勢幸一氏


メモを取る小悪魔


メモを取り続ける小悪魔


ノートPCでセキュリティを説明する伊勢氏


実際にハッキングを試す!


説明が書き切れなくて下がっていく伊勢氏

小悪魔女子大生のサーバエンジニア日記 発売中!
  • はてなブックマークに追加
  • Yahoo!ブックマークに登録
あなたを求める企業がある!
まずはリクナビNEXTの「スカウト」でチャンスを掴もう!
スカウトに登録する

このレポートの連載バックナンバー

小悪魔女子大生”がTech総研に降臨!

なぜか技術に詳しい(ウソです)女子大生が、ほんわかしたイラストで「技術の仕組み」を紹介します。実はすご〜く本格的。ウサちゃんも悪ウサもいます。

小悪魔女子大生”がTech総研に降臨!

このレポートを読んだあなたにオススメします

「サーバエンジニア日記」の小悪魔女子大生がTech総研に降臨

小悪魔のイラスト日記8 最終回はイラストを教えます

“小悪魔女子大生”がTech総研に降臨!今回が最終回! そこで特別企画! 今まで講師を務めていただいた伊勢幸一氏に、小悪魔がイラストを教えちゃいます。小悪魔が…

小悪魔のイラスト日記8 最終回はイラストを教えます

「サーバエンジニア日記」の小悪魔女子大生がTech総研に降臨

小悪魔のイラスト日記7インフラエンジニアについて

“小悪魔女子大生”がTech総研に降臨!今では当たり前のように呼ばれている「インフラエンジニア」という職種。実はこのネーミング、比較的最近のものなのです。その歴史はPC…

小悪魔のイラスト日記7インフラエンジニアについて

マッシュアップ、MySQL、XOOPS……全問正解を目指せ!

本当にわかってる?「技術用語テスト」ソフトウェア篇

それぞれの業界で飛び交う専門用語や略語の数々。客先や職場での会話の中で恥をかくことのないよう、市場価値の高い技術者なら知っていて…

本当にわかってる?「技術用語テスト」ソフトウェア篇

非構造化データのビジネス活用があらゆる産業を変える!?

ビッグデータ時代に熱望される3つのスキル

今年になって「ビッグデータ」という言葉がクローズアップされるようになった。今後、大量なデータを保管するだけではなく、効率的な分散…

ビッグデータ時代に熱望される3つのスキル

出産・育児を経てエンジニアを目指す元プロマネの転職

システム領域を拡大する三菱スペース・ソフトウエアへ

面接現場の舞台裏1962年に設立された三菱スペース・ソフトウエアは、宇宙・防衛システムの分野で画期的な研究・開発実績を残してきた。今日…

システム領域を拡大する三菱スペース・ソフトウエアへ

僕たち私たちの転職忍者の術★31

バレないようにコッソリ転職活動したいでござる の巻

在籍中に転職活動をする場合、今の会社にバレないようこっそり慎重に進めたいもの。ときには家族や友人にも内緒で活動したいケ…

バレないようにコッソリ転職活動したいでござる の巻

この記事どうだった?

あなたのメッセージがTech総研に載るかも

あなたの評価は?をクリック!(必須)

あなたのご意見お待ちしております

こちらもお答えください!(必須)

歳(半角数字)
(全角6文字まで)
  • RSS配信
  • twitter Tech総研公式アカウント
  • スカウト登録でオファーを待とう!
スマートグリッド、EV/HV、半導体、太陽電池、環境・エネルギー…電気・電子技術者向け特設サイト

PAGE TOP