読者です 読者をやめる 読者になる 読者になる

にしのくえすと

情報処理技術者試験のお勉強ブログ


「にしのくえすと」とは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


新刊のお知らせです!
20170310230011
・電子書籍第2弾!「セスペちゃん29」発売中!(Kindle版)
 午前対策+27春秋・28春秋午後解答ライブ収録!
 情報処理安全確保支援士対応!練習問題付き約150Pの攻略同人誌!

 
電子書籍発売中です!
20161022221039
・初の電子書籍!「ネスペちゃん28」発売中!(Kindle版)ver1.1

作者の日記系ブログ
みがまえるよりはやく  「にしの」私的なブログ不定期です。こちらもよろしくです。

今後のスケジュール
・ITパスポート本を製作中(6月予定)です。
・ネスペちゃんの改訂を行う予定です。(8月予定)

広告



セキュスペ午前攻略メタキン! (2)クロスサイト

広告

クロスサイトスクリプティング」(XSS)


攻撃者はこちらの不正なプログラムを、相手のサーバ上で動作させ
たいのですが信頼されていないので、できません。

そこで、そのサーバに信頼されているユーザ(山田くんとします)
をターゲットにします。


1 まず、メールで不正なスクリプトのあるサーバのURLを山田
  くんに踏ませます。
2 踏んだサーバにある不正なスクリプトスクリプトを山田くん
       の信頼サーバに書き込もうとします。(クロスサイト)
3 サーバは山田くんを信頼しているので、不正スクリプトは書き
       込まれます。
4 書き込まれた不正なスクリプトは他の利用者が踏んでしまいま
  す。(スクリプティング


対策としては、
・WAFで検出する
スクリプトの実行を禁止する
・エスケープ処理

などがありますが、「通常業務を阻害しないか確認する」点をよく
聞いてきます。


クロスサイトリクエストフォージェリ」(CSRF)
XSSに似ているのですが、CSRFは相手のログイン状態をのっ
とり、相手に不正な動作をさせるのが目的です。

1 まず、メールで不正なスクリプトのあるサーバのURLを山田
  くんに踏ませます。
2 踏んだサーバにある不正なスクリプトで、山田くんは攻撃者の
  言うとおりの行動を取ってしまいます。(クロスサイト)
3 サーバは山田くんを信頼しているので、たとえば勝手に掲示板
  に書き込みを行ってしまいます。(リクエストフォージェリ)


これも対策としては、
・WAFで検出する
スクリプトの実行を禁止する
・ログイン状態の維持を短く設定する

などがありますが、先程と同じように「通常業務を阻害しないか確
認する」のが重要です。

この2つとインジェクション系(後日やります)はごちゃごちゃに
なりがちなので、頭のなかを整理しておきましょうね。

にしのくえすと Presented by にしの 2017