入力値をそのままプログラムとして実行するような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、プログラムを不正に実行する。 対策 危険な関数の利用を避ける。 パラメータのチェック/サニタイズ WAFでの入力値チェック プログラムに…

入力値をそのままSQL文の一部に組み込むような脆弱性のあるプログラムを悪用し、悪意のあるパラメータを渡すことで、データベースに不正アクセスする。 対策 ストアドプロシージャの利用。 パラメータのサニタイズ WAFでの入力値チェック プログラムに与える…

脆弱性のあるプログラムを悪意のあるパラメータで起動し、任意のコマンドを実行させる。 対策 ソフトウェア利用者 最新のセキュリティパッチを適用する。 スタック領域でのプログラム実行をOSの機能で禁止する。 プログラム実行を禁止するOSの機能を使う。(…

パケットの改変によてMACアドレス、IPアドレスなどを詐称し、それによるによるアクセス制御を無効化する。 対策 詐称されうる情報に頼ったアクセス制御を利用しない。

正規のユーザーにより確立されたTCP(や、より上位の層の)セッションを横取りし、正規ユーザーの権限でシステムに不正アクセスする。 名前 方法 リスク 対策 セッションハイジャック TCPやHTTPのセッションを奪取しなりすます。 奪取したセッションによる不正…