もし自分が自分に標的型攻撃を行うなら?
最近は標的型攻撃の話題で持ち切りですが、もし自分が自分に標的型攻撃を行うならどうするか?紹介します。
開発者/管理者/ユーザーが安全にWebシステムを利用する方法
Webシステムには様々なリスクがあります。より安全に利用するためのTipsを紹介します。
他の方も普通にこれから紹介する方法を使ってWebシステムにアクセスしている、と思っていたのですがそうでもないようです。これから紹介する方法でリクエストフォージェリやクロスサイトスクリプティングなどのリスクを排除/軽減できます。
リクエストフォージェリを再考 – リクエストのインジェクションと考える
リクエストフォージェリを再考してみたいと思います。リクエストフォージェリには
- SSRF(サーバーサイドリクエストフォージェリ)
- CSRF(クロスサイトリクエストフォージェリ)
- XXE(XMLエクスターナルエンティティ)
などがあります。これらは「リクエスト」を「偽装」(フォージェリ)する攻撃です。名前からは直感的にどのような攻撃なのかよく解らないですが、「攻撃リクエストのインジェクション」と考えると解りやすいと思います。