サイバーセキュリティ＆人工知能研究所

PHP サイバーテロの技法

Webアプリケーションへの攻撃方法は14種類しか存在しない

2015/06/18 : CyberLibrary

[目次]
１．Webアプリケーションのセキュリティとは
２．Webアプリケーションを実際に攻撃してみよう
３．攻撃方法 14 種類総ざらえ
４．Webアプリケーションセキュリティの理論
５．HTTP セッションから攻撃の本質を知る
６．脆弱性スキャナーを利用する
７．チャート式:脆弱性の見つけ方

[書評]
(１)XSS(クロス・サイトス・クリプティング)
　　リンクを踏ませて JavaScript を実行させる
(２)Script Insertion
　　コンテンツ内に JavaScript を埋め込む
(３)SQL Injection
　　データベースへの問い合わせを乗っ取る
(４)CSRF(クロス・サイト・リクエスト・フォージェリー)
　　意図しない操作を強いる
(５)ヌルバイト攻撃
　　ファイルなどのチェック機構をすり抜ける
(６)Directory Traversal(ディレクトリ遡り攻撃)
　　想定外のディレクトリにアクセスする
(７)変数汚染攻撃
　　セッション変数を外部から操作する
(８)HTTP レスポンス分割攻撃
　　不正な HTTP レスポンスを読み込ませる
(９)インクルード攻撃
　　任意のファイルを読み込み実行する
(10)eval 利用攻撃
　　任意の PHP コードを実行する
(11)外部コマンド実行攻撃
　　任意の外部コマンドを実行する
(12)ファイルアップロード攻撃
　　アップロードしたファイルを実行する
(13)セッションハイジャック
　　第三者のセッションを乗っ取る
(14)スパムメール踏み台攻撃
　　迷惑メールの送信サーバとして利用する

この 14 種類の攻撃方法のそれぞれに対して、攻撃目標、攻撃方法、結果、対策方法が解説されています。
肝心のコード解説の部分等に誤植が散見されますが、マジメに読んでいれば気づく程度です。

紹介されている攻撃方法が、使っているブラウザや環境によっては動作が確認できなかったり、紹介されている脆弱性スキャナが世代的に古かったりして、出版(2005年)されてから改訂されていないことが非常に悔やまれますが、私の知る限り他に類書もなく(あったら教えてください)、１０刷を重ねている良書だと思います。

[公式サイト]
http://www.peak.ne.jp/support/phpcyber/

[参考サイト]
http://www.php-labo.net/tutorial/public/security.html

　Amazon　 楽天ブックス

記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。

→「Ｉ／Ｏ(アイオー)2015年8月号」
←「ハッカーの学校」


«　戻る