Étiquettes
Parcourez et recherchez les étiquettes. Chaque page contient une explication accessible.
Cwe 190
22
Explication à venir
CWE
Cwe 693
20
Explication à venir
CWE
Cwe 269
19
Explication à venir
CWE
Remote Code Execution
19
RCE (Remote Code Execution) は「攻撃者が遠隔から、サーバー上で任意のプログラムを実行できる」最も深刻な脆弱性です。
これが成立すると、サーバー全体が乗っ取られ、データ全削除・暗号通貨マイニング・ランサムウェア感染・他社攻撃の踏み台化など何でもされます。
セキュリティ業界では「最悪レベル」「最優先で塞ぐべき」と扱われます。
Attack Types
Synacor
18
Explication à venir
Vendors
Cwe 288
18
Explication à venir
CWE
Exchange Server
17
Explication à venir
Products
Cwe 399
17
Explication à venir
CWE
Server-Side Request Forgery
17
SSRFは「外部からのリクエストを、サーバーが内部ネットワークに転送してしまう」脆弱性です。
たとえば「画像URLを貼って」と言われてWebサービスがそのURLを取りに行く機能で、攻撃者が `http://169.254.169.254/` (AWSの内部メタデータURL) を入れると、AWSの認証情報が漏洩する、というのが典型例。
クラウド時代に特に危険視されている脆弱性です。
Attack Types
Cwe 862
17
Explication à venir
CWE
Zimbra Collaboration Suite Zcs
16
Explication à venir
Products
Android
16
Explication à venir
Mobile Platforms
Vendors
Cwe 59
16
Explication à venir
CWE
Cwe 121
16
Explication à venir
CWE
Cwe 362
15
Explication à venir
CWE
Ipados
15
Explication à venir
Products
Samsung
15
Explication à venir
Vendors
Sonicwall
15
Explication à venir
Vendors
Coldfusion
15
Explication à venir
Products
Rust
14
Explication à venir
Programming Languages
Sap
14
Explication à venir
Vendors
Mozilla
14
Explication à venir
Vendors
Cwe 476
14
Explication à venir
CWE
Palo Alto Networks
14
Explication à venir
Vendors
Ios And Ios Xe Software
14
Explication à venir
Products
Path Traversal
14
パストラバーサルは「ファイル名を指定する箇所に `../../../etc/passwd` のような文字列を入れて、本来アクセスできないファイルを読み出す」攻撃です。
ファイルダウンロード機能や画像表示機能でよく見られます。
対策は「ユーザー入力のファイル名を、必ずホワイトリスト・固定ディレクトリに制限する」こと。
Attack Types
Acrobat And Reader
13
Explication à venir
Products
Mobile Devices
13
Explication à venir
Products
Cwe 120
13
Explication à venir
CWE
Atlassian
13
Explication à venir
Vendors
Qualcomm
12
Explication à venir
Vendors
Cwe 401
12
Explication à venir
CWE
Multiple Chipsets
12
Explication à venir
Products
Cwe 400
12
Explication à venir
CWE
Zyxel
12
Explication à venir
Vendors
macOS
12
Explication à venir
Operating Systems
Products
Python
11
Pythonは読みやすく書きやすい汎用プログラミング言語で、機械学習・データ分析・Webサーバー・自動化スクリプト等あらゆる分野で使われています。
人気フレームワーク Django・Flask・FastAPI で多くのWebサイトが動いており、AI/ML の標準言語でもあります。
脆弱性の文脈では、ライブラリ (PyPI) のサプライチェーン攻撃やデシリアライゼーション (pickle) の悪用が知られています。
Programming Languages
And Macos
11
Explication à venir
Products
Qnap
11
Explication à venir
Vendors
Pan Os
11
Explication à venir
Products
Weblogic Server
11
Explication à venir
Products
Trend Micro
11
Explication à venir
Vendors
Cwe 611
11
Explication à venir
CWE
Roundcube
11
Explication à venir
Vendors
Cwe 404
11
Explication à venir
CWE
WordPress
10
WordPressは世界中のWebサイトの約4割で使われているCMS (コンテンツ管理システム) です。
ブログ、企業サイト、ECサイトなど、プログラミング知識なしでサイトを作れるため非常に普及しています。
だからこそ攻撃者の標的にもなりやすく、プラグインの脆弱性経由で乗っ取られるケースが頻繁に報告されています。
Web Frameworks
CMS
Vendors
Ios Software
10
Explication à venir
Products
Dell
10
Explication à venir
Vendors
Netweaver
10
Explication à venir
Products
Cwe 367
10
Explication à venir
CWE
Solarwinds
10
Explication à venir
Vendors
Arm
9
Explication à venir
Vendors
Go
9
Explication à venir
Programming Languages
Package Ecosystems
Cwe 415
9
Explication à venir
CWE
Praison
9
Explication à venir
Cwe 23
9
Explication à venir
CWE
Cwe 639
9
Explication à venir
Chromium
9
Explication à venir
Vendors
Products
Cwe 798
9
Explication à venir
CWE
Vcenter Server
9
Explication à venir
Products