安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公
Threat Modeling: ソフトウェアの脅威を洗い出す手法 - Qiita
Threat Modeling の概要と STRIDE を使った脅威探しの方法を紹介する。 Threat Modeling 概要 Threat Modeling とはリスクマネジメントの一種であり、ソフトウェアに存在する潜在的な脅威を洗い出すプロセスのことを言う。 ソフトウェア開発における Threat Modeling の目的は、セキュリティの問題を早期に発見することによって、修正によるコスト発生を抑えつつ、安全なプロダクトをデリバリーすることにある。 なお、脅威によるリスクを評価し低減することも含めて Threat Modeling ということもあるが、この記事では脅威を洗い出すことに焦点を当てる。 Threat Modeling の例 Threat Modeling がどんなものかをざっくり把握してもらうために、スマホゲームを例に説明する。 ここではスマホゲームの脅威を「健全なゲーム
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
