WEBブラウザを狙った攻撃手法
こんにちは、WEBプログラマーコースの池田駿です。
本日はWEBブラウザを狙った攻撃手法をいくつか紹介します。
ガーディアンにも大いに関係のあるテーマだと思うのでぜひ読んでいってください!
1.ドライブバイダウンロード(DBD)
これはとても怖ろしい攻撃で、悪意のあるWEBサイトにアクセスしただけで
知らないうちにマルウェアや不正プログラムをダウンロードさせて感染させる攻撃です。
この攻撃の怖いところはポップアップでYESと答える、などの明示的なダウンロード操作をしなくても、
正規のプログラムやOSの脆弱性を利用してダウンロードを実行するのでユーザが気づけないところです。
例えば2009年ごろから被害が拡大しだした「ガンブラー攻撃」もこの一種で、
WEBサイトを開いた時点で不正なJavaScriptなどのコードが実行され、
Adobe Flash Player や Windows Office の脆弱性を突いたダウンロード攻撃が行われました。
対策としては既知の脆弱性に対応するしかないので、アプリやOSのアップデートなどです。
2.クリックジャッキング
これも怖いです。CSSを用いてWEBページ上に透明なボタンやリンクを配置しておき、
悪意のあるサイトなどに誘導する方法です。サイトが二枚重ねになっているようなイメージです。
対策としてはWEBサイト側でブラウザに表示する際にHTTPレスポンスヘッダの「X-Frame-Option」
というものの制限をして、二枚重ねのサイトをブロックすることです。
3.クロスサイトスクリプティング(XSS)
これはユーザがブラウザ上で入力した値をWEBサーバがそのまま出力し、
受信したブラウザがその値を用いるサイトにおいて、値部分に不正スクリプトを書いて
行う攻撃です。例えばJavaScriptはHTMLの中に<script>というタグを挿入すれば実行できます。
これをそのサイトを閲覧している多数のブラウザを標的に実行し、
例えばポップアップなどを出させて不正なサイトに誘導したりするわけです。
対策としては、サーバ側が入力値を制限したり、WAFを導入したりすることです。
(WAFなどのサーバのセキュアなネットワーク構造についてはまた改めて...)
4.HTTPヘッダインジェクション
これはヘッダに含まれるサイトのURLを別のものに書きかえて悪意のあるサイトにリダイレクトする方法です。
開きたいサイトと違うサイトが開かれたらこれです。
対策としてはこの攻撃に用使われる文字(改行文字)をHTTPレスポンスヘッダへ出力するのを制限することなどです。
ちょっと難しい話でしたが、世の中にこんな攻撃があるんだということは知っておくと
いざというときに焦らずに済むと思います。
活動日記のおかげで毎日コツコツ勉強できていて感謝しています。
何か個人的に勉強していることがある人はコメントで教えてください!
参考文献:
技術評論社「情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書」
IPA公式サイト(https://www.ipa.go.jp/security/vuln/websecurity/clickjacking.html)
*コメント*
NEW
-
date_range 2024/12/05
-
date_range 2024/12/05
【長期インターン】コン...
-
date_range 2024/12/05
新たな業務!
-
date_range 2024/12/05
大学生活と長期インターン
-
date_range 2024/12/04
チームで連携を取る時に...
*COMMENT*
西峯 なお
*コメント*
やらないほうがいいですね。
*コメント*
鈴木 健太
*コメント*
参考文献読んでみます。
勉強している(し始める)ことといえば、Linuxの勉強しようと思い、本を買ってつい先日届きました!平日は疲れ果てて寝てしまうので週末に取り組んでみようと思っています。
*コメント*
生尾 ゆうこ
*コメント*
説明に加えて対策まで知ることができ、とても勉強になりました。
こういう手法って日々巧妙化していくので、こちらも最新の情報を入れておかないとですね> <
*コメント*
北原 ゆきの
*コメント*
ちゃんと対策法も、参考文献も載せてくださり安心できます。
情報元を確かめることは標準装備として自分の中にあるつもりでしたが、そこからもう一歩踏み込んでちゃんと自分の知識にしなければ!と思いました。ありがとうございます。
情報セキュリティに関する最新の理解は必須ですね。気をつけます。
*コメント*
百田 忠将
*コメント*
攻撃手法を認識しておく事で、備えや適切な対応がとれるようになるので、色々情報を収集しておく事も大切ですね!
*コメント*