読者です 読者をやめる 読者になる 読者になる

山猫ボーイ

IT企業で働く31歳独身男の日常ブログです

セキュリティ関係でよくでてくる単語を調べてみた

WebDAV

通常、HTTPプロトコルはホームページなどを表示させる時に使用し、ページの閲覧やファイルのダウンロードなど、サーバからクライアントへのデータ送信が主流です。
しかし、WebDAV(Web-base Distributed Authoring and Versioning)を導入する事によりHTTPプロトコルを使用して内部または外部よりサーバのパス(フォルダ)を共有しデータ(ファイル)のダウンロード(読込)とアップロード(書込み)を可能にすることができます。

 

リバースプロキシ(英: Reverse proxy)

または逆プロキシは、特定のサーバへの要求を必ず経由するように設置されたプロキシサーバ。 一般的なプロキシとは異なり不特定多数のサーバを対象としない。

 

qiita.com

ブルートフォースアタック

総当たり攻撃(そうあたりこうげき)。暗号解読方法のひとつで、可能な組合せを全て試すやり方。

 

ポートスキャン

ポートスキャンとは、ネットワークを通じてサーバにアクセスし、セキュリティ上の脆弱性セキュリティホールを チェックすることを指します。インターネット上で公開されているサーバーはTCP/IPと呼ばれるプロトコルに従って動作し、アプリケーションやサービス ごとにポートが決められています。ポートスキャンは、このポートに順番にアクセスし、サーバ内で動作しているアプリケーションソフトやOSの種類を調べ、 侵入口となりうる脆弱なポートがないかどうか調べます。
ポートスキャンは、現在では不正アタックの準備として使用されるイメージがありますが、本来はファイアウォールなどの設定を確認するために使用されるものです。

 

クロスサイトスクリプティング(英: cross site scripting)

ウェブページの部分をユーザからの入力をそのままエコーバック(オウム返し)することによって生成しているアプリケーションのセキュリティ上の不備を利用して、サイト間を横断して悪意のあるスクリプトを注入する攻撃のことをいう。

viral-community.com

 

SQLインジェクション(英: SQL Injection

アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。 また、その攻撃を可能とする脆弱性のことである。

Security&Trust ウォッチ(42):今夜分かるSQLインジェクション対策 - @IT

 

<OSコマンドインジェクションとは?>
閲覧者からのデータの入力や操作を受け付けるようなWEBサイトで、プログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて不正に操作する攻撃。

 

w3af

Webアプリケーションの攻撃および監査フレームワークです。w3afのコア部分やプラグインPythonで実装されています。SQLインジェクションのチェックやクロスサイトスクリプティングXSS)、ローカル/リモートファイルインクルージョンなどを含めた130以上のプラグインが提供されています。

 

OpenVAS

かつてオープンソースソフトウェアとして開発・リリースされていたセキュリティスキャナ「Nessus」から派生したセキュリティスキャ ナだ。Nessusは2005年にリリースされたバージョン3以降、非オープンソースライセンスで提供される商用ソフトウェアとなったが、オープンソース で公開されていたバージョン2系をベースに拡張を続けたものがOpenVASとなる。コミュニティベースで開発され無償で利用できるだけでなく、脆弱性 データベースは日々更新が続けられており、開発を支援する独Greenbone Networksによる商用サポートも提供されている。

 

WAF

www.symantec.com

Webサイトの前面に配置することでWebサイト、およびその上で動作するPHPなどのWebアプリケーションを狙った攻撃を防御するセキュ リティ対策製品です。F/W(ファイアウォール)やIPS(IDS)といった従来のゲートウェイセキュリティ対策製品とWAFの違いは、防御できる通信レ イヤーと防御できる攻撃にあります。

 

 

一般社団法人 JPCERTコーディネーションセンター

JPCERTコーディネーションセンター: Japan Computer Emergency Response Team Coordination Center、略称:JPCERT/CC)は、コンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人