脆弱性 (vulnerability)

攻撃手法

クロスサイト スクリプティング (Cross Site Scripting : XSS)

Webサイトの訪問者の入力をそのまま表示することで、他の訪問者のブラウザで悪意あるコードを実行してしまう脆弱性のことです。XSSとは【Cross Site Scripting】 - IT用語辞典 e-Words

意図せずコードが実行されないようにするには、入力をエスケープしてから表示します。

文字エンコーディング

XSSに対処するには、文字エンコーディングへの注意も必要です。狙われるWebアプリケーション - まだまだあるクロスサイト・スクリプティング攻撃法:ITpro 徳丸浩 (2007/04/17)

これはHTTPならば、Content-Typeフィールドで明示できます。

クロスサイト リクエストフォージェリ (Cross Site Request Forgeries : CSRF)

Webサイトにスクリプトなどを仕込むことで、閲覧者に別のサイトへの書き込みなどを行わせる攻撃手法です。CSRFとは【Cross Site Request Forgeries】 - IT用語辞典 e-Words

オープンリダイレクト (Open redirect)

サイトへのリクエストにURLを仕込むことで、別のサイトへリダイレクトさせる攻撃手法です。

SQLインジェクション (SQL injection)

データベースを処理するプログラムにパラメータとしてSQL文を与えることで、データベースを不正に操作する攻撃手法です。SQLインジェクションとは【SQL injection】 - IT用語辞典 e-Words

クリック ジャッキング (Clickjacking)

ユーザーに意図せぬクリックをさせる攻撃手法です。これはiframeで埋め込んだページを透明に表示して、他のページに重ねる手法などで行われます。

X-Frame-Options

踏み台

踏み台とは、第三者によって不正アクセスなどの中継地点に利用されているコンピュータのことです。踏み台とは - IT用語辞典 e-Words

脆弱性への対策

WAF (Web Application Firewall)

複数の技術系サイトから、まとめて検索