攻撃
ウェブセキュリティにおいて、攻撃とは、攻撃者が目的を達成するために使用する特定の手法を指します。例えば、攻撃者の目的がユーザーデータの窃取である場合、クロスサイトスクリプティング (XSS) 攻撃が使用される可能性がある手法の 1 つです。特定の攻撃は、1 つまたは複数の緩和策によって対抗することができます。例えば XSS は、データの正規化とコンテンツセキュリティポリシーの実装によって対抗することができます。
このページは、いくつかの一般的な攻撃手法と、その抑止方法について説明しているページにリンクしています。
- クリックジャッキング
-
クリックジャッキング攻撃では、攻撃者はターゲットサイトを
<iframe>要素内に埋め込んだおとりサイトを作成します。<iframe>を隠し、その上にいくつかのおとり要素を重ねます。 ユーザーがこれらの偽装された要素を操作すると、意図せずにターゲットサイトを操作することになり、意図しないのにターゲットサイト上で操作を実行してしまう可能性があります。 - クロスサイトリクエストフォージェリー (CSRF)
-
クロスサイトリクエストフォージェリー (CSRF) 攻撃では、攻撃者はユーザーまたはブラウザーを騙し、悪意のあるサイトからターゲットサイトへ HTTP リクエストを送信させます。このリクエストにはユーザーの資格情報が含まれており、サーバーはユーザーが意図したものと誤認して有害な動作を行います。
- クロスサイトリーク (XS-Leaks)
-
クロスサイトリーク (XS-Leaks) は、攻撃者のサイトが、サイト同士が相互に対話することを可能にするウェブプラットフォーム API を使用することで、標的サイトに関する情報、またはユーザーと標的サイトとの関係性に関する情報を導き出すことができる攻撃の一種です。
- クロスサイトスクリプティング (XSS)
-
クロスサイトスクリプティング (XSS) 攻撃では、攻撃者が細工した入力がウェブサイトに受け入れられ、この入力がサイトのページに誤って挿入されます。これにより、ブラウザーがコードとして実行します。悪意のあるコードは、サイトのフロントエンドコードが実行できる何らかの操作を行うことができます。
- 未保護の直接オブジェクト参照 (IDOR)
-
未保護の直接オブジェクト参照 (IDOR) 攻撃では、攻撃者は不十分なアクセス制御や、データベースキーやファイルパスなどのオブジェクト識別子の不適切な公開を悪用します。
- 中間者攻撃 (MITM)
-
中間者攻撃 (MITM) では、攻撃者はユーザーのブラウザーとサーバーの間に割り込み、HTTP 経由でやり取りされるトラフィックをすべて閲覧し、変更する可能性もあります。
- フィッシング
-
フィッシングはソーシャルエンジニアリング攻撃の一種であり、攻撃者がユーザーを騙して対象サイトにログインしていると思わせ、実際には攻撃者が制御する偽サイトと対話させ、ユーザーの資格情報を盗み取るものです。
- プロトタイプ汚染
-
JavaScript のプロトタイプ汚染は、攻撃者がオブジェクトのプロトタイプにプロパティを追加または変更できる脆弱性です。これにより、アプリケーション内のオブジェクトに予期せぬ悪意のある値が現れ、多くの場合、論理エラーやクロスサイトスクリプティング (XSS)などの追加攻撃につながります。
- サーバーサイドリクエストフォージェリー (SSRF)
-
サーバーサイドリクエストフォージェリー (SSRF)は、攻撃者が任意の出力先に対して HTTP(またはその他のネットワーク)リクエストを送信することができる脆弱性です。SSRF では、これらのリクエストがサーバー内部から発信されるため、外部クライアントよりも広範なアクセス権限を持つことが一般的です。
- サブドメイン乗っ取り
-
サブドメイン乗っ取り攻撃では、攻撃者は標的ドメインのサブドメインを制御します。
- サプライチェーン攻撃
-
サプライチェーン攻撃では、攻撃者はサイトの一部(例えば、サイトが使用するサードパーティー依存関係など)を侵害します。