トップページ > コンテンツ > ネットワーク関連メモ > ネットワーク運用編 > セキュリティ関連

セキュリティ管理について

• セキュリティ管理方針については、こちら参照

脆弱性や攻撃手法、その対策ついて

脆弱性を突くexploitコードや各種ウィルス等、ネットは危険にさらされている認識が重要である。
ログイン名とパスワードが同じとかは論外だ。ここでは、セキュリティ関連について少し触れてみる。

※注意
本サイト記載の対策だけやっておけば十分という話ではありません。
攻撃手法や対策は記載内容以外にも多々ありますので、しっかり調査した上で対策しましょう。

なお、脆弱性等に関するものは手法や対策が日々変化しているので、
https://www.jpcert.or.jp/
https://www.ipa.go.jp/security/vuln/index.html
http://www.ipa.go.jp/security/vuln/documents/
等のサイトも常にチェックしておきましょう。

ZAP、Burp Suite、nmap等の脆弱性検査ツールの活用したい所。

系統	攻撃の種類
ファイル閲覧系	ディレクトリトラバーサル
	ディレクトリリスティング
インジェクション・悪意のある入力データ系	バッファオーバーフロー
	整数オーバーフロー
	SQLインジェクション
	OSコマンドインジェクション
	HTTPヘッダ・インジェクション
	メールヘッダ・インジェクション
	クロスサイトスクリプティング(XSS)
	NULLバイト攻撃
ウィルス感染系	ボット
	マルウェア
ユーザに意図しない操作させる系	クロスサイトリクエストフォージェリ(CSRF)
	クリックジャッキング
	オープンリダイレクト
その他	オープンプロキシ
	ネットワーク傍受(sniffing)
	パスワードクラッキング
	DOS攻撃
	IPスプーフィング
	セッションフィクセーション(セッションハイジャックの一例)
	サイドチャネル攻撃
	DNSキャッシュポイズニング
	バックドア・デバッグオプション

※インジェクション・悪意のある入力データ系は、入力チェック系を対策として多くあげていますが、プロキシツール等で回避されてしまうケースもあるので、防御はフロントエンド側だけでなく、バックエンド側でも実施しておく必要があることは抑えておきましょう。

その他の防御策について

• 外部からサイトの情報等を得る

• ユーザとして気をつけたいこと

関連：
ネットワーク監視フリーソフト等→http://chienomi.com/category/security/network.html
参考：
http://www.ipa.go.jp/security/vuln/vuln_contents/dt.html
http://www.chuu-information.com/security/word.html