カテゴリー:セキュリティ
-
DDoS(Distributed Denial of Service)攻撃について サーバに対して大量の要求(パケット)を送りつけることでサービス停止に陥らせる等の妨害を行う攻撃です。複数のコンピュータが協調して行うことで協調分散型DoS…
-
用語 まずはログイン関連の用語を把握しておきましょう。 サインアップ ユーザーのアカウントを作成することです。 サインイン、ログイン、ログオン ログインすることです。 ログイン機能の方式 ユーザー管理機能を実装する方法としては…
-
CSRF(クロスサイトリクエストフォージェリ)とは? Webアプリが持つ入力フォームに対して、意図しない形で別のWebアプリから意図しないデータを元のWebアプリのフォームに送信する攻撃手法(リクエストの偽造)のことです。 攻撃のきっか…
-
共通鍵暗号方式とは? データの暗号化、復号化に使う鍵が共通のためこの呼び方になっている。 問題点 送信者と受信者で同じ鍵を使う必要があるので受け渡しに問題がある。その対策として公開鍵暗号方式が使われる。 メリット 仕組みが単純なた…
-
「SSO(シングルサインオン)」とは? 一つのID、パスワードを用いてパスワード認証を行って、複数のWebサービスやクラウドにアクセスすることができる仕組みです。 昨今は、様々なシステムがあるので、都度パスワードを入力する手間がかか…
-
「Auth0」とは? 元Microsoft社勤務の社員が中心となって、2013年に創業したアメリカの企業で、Webアプリ等の認証・認可のサービスをクラウドベースで提供しているクラウド型シングルサインオンであるIDaaSのベンダになります。…
-
通常のWebアプリケーションであれば、パスワードはデータベースに保存します。ただ、そのままDBに保存するのは、セキュリティ上望ましくありません。その対策として、現在はDBにパスワードを保存する際は、ハッシュ関数を使ってハッシュ(digest…
-
それでは、実際に、XSS(クロスサイトスクリプティング)をJavaサーブレットで、体験してみましょう。百聞は一見に如かずといいますしね。 なお、Chromeだと、XSSがデフォルトで動きませんので、IEで実行するようにしましょう。 …
-
有名な脆弱性として、XSS(クロスサイトスクリプティング)があると思いますが、基本的な知識をまとめます。 XSSとは? ユーザーに表示するコンテンツに悪意のあるスクリプト(主にJavaScript)を仕掛けて、そのコンテンツを表示したユ…
-
03.31
【Webセキュリティ】ログイン認証の種類について
Webアプリのログインで使われる認証にも色々種類があるので分類しておきます。 Basic認証 Apache等のWebサーバーの設定で、該当のHTMLにアクセスする際にポップアップで認証を出すことが可能です。 Basic認証のデメリット…