|
今回はこあくまからのクリスマスプレゼント企画です! 情報セキュリティにおけるクロスサイトスクリプティング、SQLインジェクションについてです!
情報セキュリティとは、情報漏れを防ぐ機密性、改ざんを防ぐ完全性、データクラッシュやDDOS攻 撃を防ぐ可用性を維持することをいいます。
今回はその機密性と完全性を脅かすクロスサイトスクリプティングとSQLインジェクションについて教えてもらいました!
クロスサイトスクリプティングとは、Aのサイトにある入力フォームなどから、悪意のあるスクリプ ト(命令)を入力し、次にそのサイトを閲覧したユーザのブラウザがそのスクリプトを知らずに実行 してしまうことで、別のBサイトからウイルスをダウンロードさせたり、悪意あるプログラムを実行してブラウザに含まれるユーザの個人情報などを奪う攻撃のことをいいます。
最初のスクリプトはAのサイトに書き込まれ、次に、アクセスしたユーザのブラウザがそれを 実行することによって別サイトへアクセスさせたり、ブラウザのCookieを別サイトへ転送したりするのです。
たとえば、悪意ある攻撃者がブラウザのCookieを奪うようなスクリプトを仕込んでいたとすると、 ユーザはそのページをブラウザでアクセスしただけで個人情報をとられてしまったりします。
このように第三者によって元のWebページにスクリプトが埋め込まれる可能性のあるセキュリティ上の弱点を、クロスサイトスクリプティングの脆弱性といいます。
そして、そのクロスサイトスクリプティングの脆弱性を衝かれ、システムへの侵入や乗っ取り、個 人情報漏洩をゆるしていまうことが情報セキュリティにとって大変な脅威なのです! それを防ぐにはフォーム入力にHTMLタグや特殊文字が入力された場合に、それを無効にする処理が必要なのです。
SQLインジェクションは、SQLの利用して不正にデータベースを操作されてしまう攻撃のことをいいます。
SQLとは、リレーショナルデータベースを操作するための言語です。
データベースとは、様々な目的を考慮して様々な情報形式で得られるように、 整理整頓されたデータのあつまりです。
リレーショナルデーターベースは、表(テーブル)によってデータモデルが表現され、複数の表を関連づけて、全てのデータを巨大なデータベースとして活用しています。
そのリレーショナルデータベースを操作する言語がSQLなのです。 Webサイトではユーザのフォームへ入力した値からSQL文を作り、データベースへ入力します。
SQLインジェクションとはこのフォーム入力に不正なSQL文を入力し、データベースから情報を抜き 取ったり改ざんしたり破壊したりする攻撃です。
そこで、SQL文を作るためのフォーム入力ではSQL言語で使われる「;」「'」といった制御文字や特殊文字を無効にする必要があるのです!
「';」や「; #」を除きました。
今回は情報セキュリティについて伊勢さんに教えてもらいました!
こあくまもブログを持っているので、とくにXSSに興味を持ちました。
みなさんのブログは大丈夫ですかー??チェックしてみてくださいね!
株式会社ライブドア |
メモを取る小悪魔 |
メモを取り続ける小悪魔 |
ノートPCでセキュリティを説明する伊勢氏 |
実際にハッキングを試す! |
説明が書き切れなくて下がっていく伊勢氏 |
このレポートの連載バックナンバー
小悪魔女子大生”がTech総研に降臨!
なぜか技術に詳しい(ウソです)女子大生が、ほんわかしたイラストで「技術の仕組み」を紹介します。実はすご〜く本格的。ウサちゃんも悪ウサもいます。
このレポートを読んだあなたにオススメします
「サーバエンジニア日記」の小悪魔女子大生がTech総研に降臨
小悪魔のイラスト日記8 最終回はイラストを教えます
今回が最終回! そこで特別企画! 今まで講師を務めていただいた伊勢幸一氏に、小悪魔がイラストを教えちゃいます。小悪魔が…
「サーバエンジニア日記」の小悪魔女子大生がTech総研に降臨
小悪魔のイラスト日記7インフラエンジニアについて
今では当たり前のように呼ばれている「インフラエンジニア」という職種。実はこのネーミング、比較的最近のものなのです。その歴史はPC…
マッシュアップ、MySQL、XOOPS……全問正解を目指せ!
本当にわかってる?「技術用語テスト」ソフトウェア篇
それぞれの業界で飛び交う専門用語や略語の数々。客先や職場での会話の中で恥をかくことのないよう、市場価値の高い技術者なら知っていて…
非構造化データのビジネス活用があらゆる産業を変える!?
ビッグデータ時代に熱望される3つのスキル
今年になって「ビッグデータ」という言葉がクローズアップされるようになった。今後、大量なデータを保管するだけではなく、効率的な分散…
出産・育児を経てエンジニアを目指す元プロマネの転職
システム領域を拡大する三菱スペース・ソフトウエアへ
1962年に設立された三菱スペース・ソフトウエアは、宇宙・防衛システムの分野で画期的な研究・開発実績を残してきた。今日…
応募者は「イケた!」と思ったのに……なぜ不採用?
スキルが高い人材でも「NG」を出した人事の証言
求人の募集要項にあるスキルは満たしていたのに、なぜか結果は不採用。そんな経験をした人も多いのでは? では、採用に至らな…
あなたのメッセージがTech総研に載るかも