I-20-7. Webシステムへの不正アクセスと対策

Webシステムのセキュリティリスクについて解説し、バッファオーバフローやDoS攻撃などのWebサービス/Webサーバへの不正アクセスや攻撃の内容と手順、およびそれらに対する対策について説明する。

【学習の要点】

* Webアプリケーションに多くのセキュリティホールを抱えたWebサイトが非常に多く公開されており、不正アクセスの格好のターゲットとなっている。

* Webアプリケーションのセキュリティホールは、ファイアウォール、IDS、ウィルス対策では役立たないことが多く、アプリケーション側で対策をしなければならない。

図I-20-7. 一般的なWebサイトのセキュリティリスク

【解説】

1) Webシステムのセキュリティリスク

例えばDoS攻撃の場合、IDS(不正侵入検知システム)の導入が効果的な場合もあるが、Webシステムへの攻撃の多くは、Webアプリケーションのセキュリティホールを狙ったもので、ファイアウォール、IDS、ウィルス対策では役立たない。Webアプリケーションのセキュリティホールを狙った攻撃には、Webアプリケーション側で、攻撃を防ぐような設計、実装をしなければならない。

2) Webアプリケーションのセキュリティホールを狙った攻撃

* アプリケーション・バッファオーバーフロー

入力フォーム等に異常に長い文字列を入力し、誤動作させる。

* クロスサイトスクリプティング

ユーザのブラウザ上で不正なスクリプトを実行。

* パラメータ改ざん

アプリケーションが想定しない値を送信し、誤動作をさせる。

* バックドア、デバッグオプション

開発/管理用の入り口を探し出す。

* セッションハイジャック

セッションの盗用を行う。

* SQLインジェクション

不正入力により任意のSQL文を実行させる。

* OSコマンドインジェクション

不正入力により任意のOSコマンドを実行させる。

* エラーコード

出力されたエラーメッセージからシステムの情報を取得し、攻撃に利用する。

* 強制的ブラウズ

リンクの張られていないURLに直接アクセスする。

* 盗聴

HTTPSを利用していない重要な情報のやり取りを盗聴する。

* フィルタのバイパス

エンコードした文字列を用いてフィルタを回避する。

* クロスサイトリクエストフォージェリ

正規のユーザの権限を利用し、不正なページに誘導する。

* パストラバーサル

想定しないパスのファイルにアクセスする・

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。