脆弱性 (vulnerability)

攻撃手法

クロスサイトスクリプティング (Cross Site Scripting : XSS)

Webサイトの訪問者の入力をそのまま表示することで、他の訪問者のブラウザで悪意あるコードを実行してしまう脆弱性のことです。XSSとは【Cross Site Scripting】 - IT用語辞典 e-Words

意図せずコードが実行されないようにするには、入力をエスケープしてから表示します。

文字エンコーディング

XSSに対処するには、文字エンコーディングへの注意も必要です。狙われるWebアプリケーション - まだまだあるクロスサイト・スクリプティング攻撃法：ITpro 徳丸浩 (2007/04/17)

これはHTTPならば、Content-Typeフィールドで明示できます。

参考

クロスサイトリクエストフォージェリ (Cross Site Request Forgeries : CSRF)

Webサイトにスクリプトなどを仕込むことで、閲覧者に別のサイトへの書き込みなどを行わせる攻撃手法です。CSRFとは【Cross Site Request Forgeries】 - IT用語辞典 e-Words

オープンリダイレクト (Open redirect)

サイトへのリクエストにURLを仕込むことで、別のサイトへリダイレクトさせる攻撃手法です。

第3回　Webセキュリティのおさらいその3 CSRF・オープンリダイレクト・クリックジャッキング：JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社はせがわようすけ (2016/07/13)
これなら合格！正しいリダイレクターの作り方 (1/3)：HTML5時代の「新しいセキュリティ・エチケット」（4） - ＠IT はせがわようすけ (2014/06/20)

SQLインジェクション (SQL injection)

データベースを処理するプログラムにパラメータとしてSQL文を与えることで、データベースを不正に操作する攻撃手法です。SQLインジェクションとは【SQL injection】 - IT用語辞典 e-Words

クリックジャッキング (Clickjacking)

ユーザーに意図せぬクリックをさせる攻撃手法です。これはiframeで埋め込んだページを透明に表示して、他のページに重ねる手法などで行われます。

知らぬ間に自ら「設定変更」、クリックジャッキング攻撃を防ぐ：ITpro 関口竜也 (2013/07/08)
Networkキーワード - クリックジャッキング：ITpro (2008/12/03)

≫X-Frame-Options

踏み台

踏み台とは、第三者によって不正アクセスなどの中継地点に利用されているコンピュータのことです。踏み台とは - IT用語辞典 e-Words

参考

セキュリティ用語事典[踏み台]
技術の広場 - セキュリティ法律相談室---踏み台：ITpro 八木玲子、堀内かほり (2003/09/12)

参考

JVN (Japan Vulnerability Notes) - 脆弱性対策情報
- Japan Vulnerability Notes／脆弱性レポート一覧

セキュリティ用語事典インデックス

脆弱性への対策

WAF (Web Application Firewall)

参考

WAFはどのように脆弱性を防御するのか - ＠IT 草薙伸、伴崇博 (2006/03/02)
情報処理推進機構：情報セキュリティ：脆弱性対策：Web Application Firewall 読本 (2011/12/28)

複数の技術系サイトから、まとめて検索