Webアプリケーション

目次

 

属性

Secure属性

cookieの動作を制御する属性の1つで、これが設定されたcookieは「HTTPS通信の場合のみブラウザからサーバに送信される

Domain

cookieを送信するドメインを指定する属性。

Path

cookieを送信するURLディレクトリを指定する属性。

Expires

cookieの有効期限を指定できる属性。指定しない場合の期限はブラウザの終了時まで。

HttpOnly

この属性が設定されたcookieJavaScriptからアクセスできなくなる。

 

過去問

平成28年秋期 問9

Q:Cookieにsecure属性を付けなかったときと比較した,付けたときの動作の差はどれか。

A:URLのスキームがhttpsのページのときだけ,WebブラウザからCookieが送出される。

 

 

 

脆弱性

攻撃種類

攻撃種類

説明

対策

OSコマンドインジェクション

攻撃者が脆弱性を持つアプリケーションを通じて不正なOSコマンドを送信し、不正アクセスを行う攻撃手法

Webアプリケーション中にシェルを起動させない

セッションハイジャック

コンピュータネットワーク通信におけるセッション(特定利用者間で行われる一連の通信群)を、通信当事者以外が乗っ取る攻撃手法

セッションIDを乱数で生成する

ディレクトリトラバーサル

ファイルAPIに対して「親ディレクトリへの横断 (traverse)」を示すような文字がすり抜けて渡されてしまうような攻撃手法

パス名やファイル名をパラメータとして受け取らない

SQLインジェクション

アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法

プレースホルダを利用する

 

過去問

平成29年春期 問12

Q:Webアプリケーションの脆弱性を悪用する攻撃手法のうち,Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し,不正にシェルスクリプトを実行させるものは,どれに分類されるか。

AOSコマンドインジェクション

 

 

 

セッション管理の脅威3つ

  1. セッション・ハイジャック
  2. セッション・フィクゼーション
  3. クロスサイト・リクエスト・フォージェリ

https://xtech.nikkei.com/it/article/COLUMN/20081010/316688/zu02_1.jpg?__scale=w:1000,h:502,q:100&_sh=0720b30520

 

 

セッション・フィクゼーション(セッションID固定化攻撃)

Webサイトが生成する正規のセッションIDを含むURLに利用者をアクセスさせ、攻撃者が用意したセッションIDを使用する通信を意図的に確立させる攻撃

 

過去問

平成29年春期 問5

Q:セッションIDの固定化(Session Fixation)攻撃の手口はどれか。

A:悪意のある者が正規のWebサイトから取得したセッションIDを,利用者のWebブラウザに送り込み,利用者がそのセッションIDでログインして,セッションがログイン状態に変わった後,利用者になりすます。

 

参考

xtech.nikkei.com