パスワードを狙った攻撃手法
| 名称 | 手法 |
|---|---|
| ブルートフォース攻撃 | 総当たりで文字列を調べる |
| 辞書攻撃 | 辞書にある単語を組み合わせて調べる |
| パスワードリスト攻撃 | これまでに流出したパスワードリストを用いて調べる |
対策
- 推測されにくいパスワードにする
- 桁数の少ない単純なパスワードにしない
- 同じパスワードを使いまわさない
- 複数回認証に失敗したら、接続を遮断する
不正な挙動を試みる攻撃
| 名称 | 手法 | 対策 |
|---|---|---|
| SQLインジェクション | 不正なSQL文を実行させるように入力する | 静的プレースホルダの利用、サニタイジング |
| コマンドインジェクション | 不正なOSコマンドを実行させるように入力する | 入力データを実行しない、サニタイジング |
| ディレクトリトラバーサル | パス名を指定して非公開ファイルにアクセスする | 入力データからパスを削除する、ファイルの権限管理 |
サニタイジングとは
ユーザからの入力に含まれる有害な文字やコードを無害化する
sanitize:消毒する、衛生的にする
例
<script>alert('攻撃');</script>“<“や”>”といった記号をエスケープ処理する
<script>alert('攻撃');</script>
コメントを残す