ketyiaの学んだこと議事録

このサイトでは学んだことを記事にまとめていきます

ウェブ・セキュリティ基礎試験(徳丸試験)の勉強 ③攻撃と同一オリジン

ウェブ・セキュリティ基礎試験(徳丸試験)の勉強 ③攻撃と同一オリジン


こんばんわ!
世間では徳丸試験といわれている、ウェブ・セキュリティ基礎試験に挑戦しようということで、いつものごとくアウトプットで記事にまとめていきます。

今回は第三回目の攻撃と同一オリジンについてまとめます。

能動的攻撃


攻撃者がWebサーバーに対して直接攻撃することです。代表例としてSQLiが挙げられます。

受動的攻撃


Webサイトの利用者に罠を仕掛けることにより、罠を閲覧したユーザを通してアプリケーションを攻撃する手法です。怪しいサイトを閲覧してマルウェアに感染する、正規サイトにマルウェアを埋め込む、利用者を利用した攻撃等の例が挙げられます。

受動的攻撃の対策


サンドボックス

サンドボックスは、制限された環境でプログラムやプロセスを実行するためのセキュリティメカニズムです。これは、子供が遊ぶための「砂場」に例えられます。子供たちは砂場の中で自由に遊ぶことができますが、砂場の外に出ることはできません。同様に、サンドボックス内で実行されるプログラムは、その環境内でのみ動作し、システムの他の部分に影響を与えることはありません。

これにより以下の機能を制限できます。

・ローカルファイルへのアクセスを禁止

・プリンタなどの資源の利用禁止

・ネットワークアクセスの制限

同一オリジン

同一オリジンポリシーは、JSなどのクライアントスクリプトからサイトをまたがったアクセスを禁止するセキュリティ上の制限です。たとえばiframeを使ってiframeの内側のHTMLを閲覧することを制限することができます。この制限をすることでパスワードなどの秘密情報の取得をさせないようにします。

スキーム(プロトコル)、ホスト、ポートの3つの組み合わせをオリジンと呼び、これらが同じ場合は同一のオリジンとみなし、同じ保護範囲のリソースとして取り扱うというものです。

ここまでです。
読んでいただきありがとうございました