- ベストアンサー
Webページの改ざん手法について
クロスサイトスクリプティングとSQLインジェクション攻撃の違いを教えて頂きたいです。 よろしくお願いいたします。
- 04t0717f_1113
- お礼率22% (46/204)
- ネットワーク
- 回答数3
- ありがとう数0
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
ざっくり説明。 「クロスサイトスクリプティング」 地雷型。仕込んだコードを含むページを表示してくれる人を待つ。 「SQLインジェクション攻撃」 ミサイル型。ウェブシステム(アプリケーションサーバ層)を通して、ウェブシステムのバックエンドにあるデータベースに、仕込んだコードを送り込んで、直ちに実行させる。 『[技術者向] コンピューター >ネットワークセキュリティ』 への質問だから、セキュリティー初学者? とりあえずこのあたりから読んでみたらいいかも。 http://www.ipa.go.jp/security/awareness/awareness.html 「クロスサイトスクリプティング」と「SQLインジェクション攻撃」、 なんか名前だけひとりあるきしてるきがするのは気のせい?
その他の回答 (2)
- John_Papa
- ベストアンサー率61% (1186/1936)
>共通点と相違点を教えて頂けたら助かります。 この限りではありませんが、ざっくりとした表現で、 SQLインジェクションは、犯人が直接対象サイトを攻撃します。 パスワードなどのデータ照合の脆弱性を利用してサイトの管理権を取得し、データを盗んだり改ざんをする。 クロスサイトスクリプティングは、犯人は直接対象サイトを攻撃しません。 訪問者をこっそりと標的サイトに誘導し、訪問者のIPやクッキーを利用して訪問者が意図しない攻撃を行わせる。 従って、「SQLインジェクションによりクロスサイトスクリプティングを仕込まれていた」という事件は有ります。
- jjon-com
- ベストアンサー率61% (1599/2592)
それぞれまったく違う攻撃手法です。 http://ja.wikipedia.org/wiki/クロスサイトスクリプティング http://ja.wikipedia.org/wiki/SQLインジェクション
関連するQ&A
- PERLでXSSやSQLインジェクションを防ぐためのCPANライブラリ
Perlで、SQLiteからデータを取ってきてブラウザへJSONを返したりするwebアプリを書いています。 クロスサイトスクリプティングやSQLインジェクションを防ぐためにうまくエスケープしてくれるようなcpanライブラリありましたら教えてください!
- ベストアンサー
- Perl
- GETとPOST
フォームでのデータの受け渡しで質問があります。 リンクにデータを埋め込んで、GETで次ページにデータを渡すという方法があると思うのですが、本を読んだりしたところ、クロスサイトスクリプティングやSQLインジェクションの攻撃にあう可能性も指摘してあったので、何となく今まではデータの書き込みを行うファイルへのフォームデータの受け渡しは、POSTを使ってやっています。 しかしながら、POSTを使うとコードが複雑になるような気もします。GETを使うのはあまり薦められないことなのでしょうか?それとも、これらの攻撃を決定的に回避できる方法があるものなのでしょうか? アバウトな質問ですが、よろしくお願いします。
- ベストアンサー
- PHP
- Webサイト改ざんについて
Webサイト改ざんについて 先日趣味で公開しているWebサイトに、明らかに入力した覚えのないJavascriptが埋め込まれてました。 公開しているサイトはHtmlで、入力フォーム等も無いためクロスサイトスクリプティングといわれるものではないと思うのですが、これはどういったものの被害を受けたのでしょうか? これに関してFTPアクセス履歴を参照したところ、あり得ない日時でのアクセスか見つかりました。 一応いろいろ調べてFTPパスの変更とftpaccessでのアクセス制限というものを施しましたが… この被害の正体と、今後の対策を知りたいと思います。 何卒よろしくお願い申し上げます
- ベストアンサー
- ウィルス・マルウェア
- SQLインジェクション及びクロスサイトスクリプティング対策について
MYSQLとPHPの掲示板があったのでどちらで質問させて頂こうか悩んだのですが、こちらの方に書き込みさせて頂きます。 現在、PHPとMYSQLを用いたプログラミングの勉強をしています。 そこで一つ疑問に感じた事がありましたので、お尋ねしたく投稿させて頂きます。 PEARなどを使わずに、平でSQL文を発行して表示しているのですが… SQLインジェクション対策・クロスサイトスクリプティング対策として以下の4つに気を付けています。 1. 文字コードはUTF8を使用 2. マジッククォートは基本的にオフ。オンの場合はスクリプト中でstripslashesを実行 3. 2のマジッククォート対策のあとにデータのインサート時に全ての挿入文字列にmysql_real_escape_stringを実行 4. データの出力時にhtmlspecialcharsを実行 以上の対策でSQLインジェクション対策及びクロスサイトスクリプティングについては十分でしょうか? コードも出さずに漠然とした質問なので返答しづらいかもしれませんが、幅広くご意見を頂けましたら助かります。 よろしくお願いします。 ※幅広くご意見頂きたいと思っておりますので記事の終了やお礼が遅くなってしまったらすみませんm(_ _)m
- ベストアンサー
- PHP
- Webシステムのセキュリティテスト
Webシステムのセキュリティテストを簡単にできるツールや方法を教えてください。 私は、セキュリティに関しては、ノウハウを持っていなくて、困っております。 ツールで簡単にWebシステムのセキュリティを診断し、レポートしてくれる様なものがあると、助かります。 SQLインジェクション、クロスサイトスクリプティング、リクエスト偽装、他ユーザーの情報を取得してしまう等、外部公開する前にセキュリティ状態を、レポートする予定です。 セキュリティテスト対象のWebシステムは、会員情報や各種申し込みを申請するシステムで、一般ユーザーに公開する予定です。
- 締切済み
- その他([技術者向] コンピューター)
- 金融システムやショッピングサイトなどはJavaで構築されているのが一般となっていると思いますが、PHPでもできますでしょうか。
一般的に金融システムやショッピングサイトなど顧客の個人情報を扱うことや取引による金額の精算をされる場合、Javaで構築されることが多いと思います。それはどうしてでしょうか。 私はPHPでも作成できると思いますがどうでしょうか。PHPはクロスサイトスクリプティングやSQLインジェクションの危険性があるとよく聞きますが、オブジェクト指向であるClassなどアクセス制限修飾子など活用すればJava同等のセキュリティが確保されるのでは…と思いますが、どうでしょうか。
- ベストアンサー
- PHP
- セキュリティプログラミング??
セキュリティプログラミングというのはどういうことなのでしょうか? 秘密鍵ファイルと、 メッセージ(データ)ファイルを元に、 MD5やSHA-1などのハッシュ関数APIを呼んだり、 SSL/TLS や SSH の接続のためのAPIを呼んだりということなのでしょうか? sqlインジェクション対策や、クロスサイトスクリプティング対策、ブルートフォース対策をするというのも、セキュリティプログラミングに分類されるのが一般的でしょうか? .
- 締切済み
- オープンソース開発
- 管理画面の入力フォームをhtml編集可能にする場合
PHP+MySQLを使っています。 管理画面から入力した商品情報のデータをDBに保存し、DBから情報を取得してホームページに反映させたいと思っています。 その管理画面の入力フォームで、商品詳細を記述する入力ボックスをhtml編集できるようにする場合(タグをつけて記述できるようにする場合)、クロスサイトスクリプティングやSQLインジェクションなどの攻撃の対策としてどういった手法がありますか。 html編集できない入力ボックスを作るときは、私は、タグを取り除くなどの処理をしてDBに保存しています。タグをつけたままDBへ保存するというのはセキュリティとしてはよくないのではと思う部分があり、みなさんはどうされているのかと思い、質問させていただきました。 よろしくお願いいたします。
- ベストアンサー
- PHP
- XSS、CSRF、SQLインジェクションについて
XSS、CSRF、SQLインジェクションをそれぞれ簡単に説明すると、 XSS・・・動的なWebサイトにおける入力フォームの脆弱性 CSRF・・・ユーザーになりすましてWebサーバーにリクエストすること SQLインジェクション・・・アプリケーションが実行するSQL文に変なものを注入して、意図しない 動作をさせる攻撃のこと で正しいですか?
- ベストアンサー
- その他(プログラミング・開発)
補足
どちらの手法もWebページの入力欄から攻撃をしかけるという理解なのですが、 この理解は間違っていますでしょうか? 共通点と相違点を教えて頂けたら助かります。 初心者なので、分かりやすく教えて頂けると嬉しいです。