⚔️ 攻撃タイプ

slug: attack-types

所属タグ (25)

タグ	解説	脆弱性件数
サービス拒否 (DoS)	タグ解説は準備中です	85
クロスサイトスクリプティング (XSS)	XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。	27
SQLインジェクション	SQLインジェクションは「Webフォームに特殊な文字列を入れて、データベースに不正な命令を実行させる」古典的な攻撃です。たとえばログイン画面で `' OR '1'='1` と入力するだけでパスワードチェックを回避できる、というのが最も有名な例です。対策は「プリペアドステートメント」を使うことで、初学者向けの教科書にも載っている基本中の基本ですが、いまだに世界中で被害が続いています。	23
リモートコード実行 (RCE)	RCE (Remote Code Execution) は「攻撃者が遠隔から、サーバー上で任意のプログラムを実行できる」最も深刻な脆弱性です。これが成立すると、サーバー全体が乗っ取られ、データ全削除・暗号通貨マイニング・ランサムウェア感染・他社攻撃の踏み台化など何でもされます。セキュリティ業界では「最悪レベル」「最優先で塞ぐべき」と扱われます。	19
SSRF (サーバーサイドリクエストフォージェリ)	SSRFは「外部からのリクエストを、サーバーが内部ネットワークに転送してしまう」脆弱性です。たとえば「画像URLを貼って」と言われてWebサービスがそのURLを取りに行く機能で、攻撃者が `http://169.254.169.254/` (AWSの内部メタデータURL) を入れると、AWSの認証情報が漏洩する、というのが典型例。クラウド時代に特に危険視されている脆弱性です。	17
パストラバーサル	パストラバーサルは「ファイル名を指定する箇所に `../../../etc/passwd` のような文字列を入れて、本来アクセスできないファイルを読み出す」攻撃です。ファイルダウンロード機能や画像表示機能でよく見られます。対策は「ユーザー入力のファイル名を、必ずホワイトリスト・固定ディレクトリに制限する」こと。	14
権限昇格	タグ解説は準備中です	7
認証バイパス	タグ解説は準備中です	4
安全でないデシリアライゼーション	タグ解説は準備中です	4
CSRF (クロスサイトリクエストフォージェリ)	タグ解説は準備中です	1
バッファオーバーフロー	タグ解説は準備中です	0
コマンドインジェクション	タグ解説は準備中です	0
認証情報漏洩	タグ解説は準備中です	0
分散型サービス拒否 (DDoS)	タグ解説は準備中です	0
IDOR (安全でない直接オブジェクト参照)	タグ解説は準備中です	0
整数オーバーフロー	タグ解説は準備中です	0
ローカルファイルインクルージョン	タグ解説は準備中です	0
悪性パッケージ	タグ解説は準備中です	0
プロトタイプ汚染	タグ解説は準備中です	0
競合状態	タグ解説は準備中です	0
リモートファイルインクルージョン	タグ解説は準備中です	0
サーバーサイドテンプレートインジェクション	タグ解説は準備中です	0
サプライチェーン攻撃	タグ解説は準備中です	0
解放後使用	タグ解説は準備中です	0
XML外部実体 (XXE)	タグ解説は準備中です	0

所属タグ (25)

🍪 Cookie について