サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
アメリカ大統領選
xn--v1t6us6kb66awvj.jp
■説明 クロスサイトスクリプティング(Cross Site Scripting:XSS)とは、攻撃者がWebページまたはメール内に用意したスクリプトを罠として、被害者となる他のユーザーのブラウザ上でそのスクリプトを動作させる攻撃(受動的攻撃)です。 XSSによって起こりうる被害としては、以下のものがあります。 ・ユーザー(クライアント)のCookieが盗まれる ・Webページ書き換えによるフィッシングサイト構築 ・Webページ書き換えにより悪意のある文章や画像が掲載される 受動的攻撃によって、被害者のブラウザで発生する攻撃の流れは以下の通りです。 1)GETまたはPOSTによってパラメータに含まれたスクリプトが脆弱なWebサイトに送られる 2)Webサイトがそのスクリプトを表示し実行される 3)ユーザーのブラウザ上でスクリプトが動作する XSSの脆弱性は、入力した文字列
ブラインドSQLインジェクションとは、入力する攻撃コードによって、データベースから異なるレスポンス結果を抽出する攻撃です。十分なエラーメッセージ処理が行われているWebアプリケーションの場合、Webページ上に、データベースからのエラーメッセージが表示されることはありません。そのため、単純なSQLインジェクションを送り込んでも、どのような結果をもたらしたかを知ることは困難です。そこで、レスポンスのHTTPステータスコードや表示された画面から状況を判断するのが、ブラインドSQLインジェクションの手法です。 たとえば、SQLインジェクションの手法でつねに真となる条件「' OR 1=1」を与えた場合、正常操作時と同様のコンテンツ"パスワードが変更されました"が表示されます。その一方で、つねに偽となる条件「' OR 1=0」を与えた場合 "指定のユーザが存在しません"など、正常時とは異なるコンテンツ
「脆弱性用語」について。脆弱性診断.jpは脆弱性に関する情報を提供致します。WEBアプリケーションの脆弱性に関する用語集です。SQLインジェクション、クロスサイトスクリプティングなど代表的な攻撃手法とその対策を具体的な実装方法、コード例、修正方法などを豊富な具体例と共に解説しています。
■説明 HTTPヘッダーインジェクション(HTTP Header Injection)とは、Webアプリケーションが返してくるHTTPレスポンスに任意のヘッダーやボディを追加する攻撃です。HTTPレスポンスに改行コードを追加して不正なボディ部分を作り出す攻撃は、HTTPレスポンス分割(HTTP Response Splitting)とも呼ばれています。 Webアプリケーションからの応答であるHTTPレスポンスのヘッダー部分には、「Set-Cookie」や「Location」といったパラメータが含まれることがあります。これらのパラメータにユーザーが入力した値が使われていて、その値のチェックが不十分な場合に、任意のヘッダーを挿入されたり、改行コード(CR+LF:%0d%0a)を追加され任意のボディ部分を挿入される、などの攻撃を受ける場合があります。 HTTPヘッダーインジェクション
カードローンのような融資サービスの存在意義について考えたことがありますか?実際に利用すると便利で頼れるサービスなのですが、いいイメージを持っていないことも事実です。当サイトではカードローンの存在意義、そして使う上での注意点などを利用者から聞いた意見と合わせて掲載しております。
このページを最初にブックマークしてみませんか?
『カードローンの存在意義について【考えてみた掲示板】』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
