記述で書けるようにしたい「サイバー攻撃」の一覧表1
現在、4月に受験する情報処理安全確保支援士の勉強中です。
サイバー攻撃の一覧を作りました。
多いので2回に記事を分けています。
(ページの最後にPDF置いておきます)
※ 補足付き
2022年11月追記:
私の合格した時の方法を反省し、より効率的な勉強法を紹介しています。
よければ参考にしてください。
【必見】未経験でも合格した情報処理安全確保支援士試験の勉強法
情報処理安全確保支援士試験って役に立つの?実務経験がないと合格は難しい?何時間ぐらい勉強したらいいの?どうやって勉強したらいいの?これらをこの記事で答えていきたいと思います。
サイバー攻撃の一覧表(1/2)
| バッファオーバーフロー攻撃 (BOF攻撃) | 確保したメモリ領域(バッファ)を超えてデータが入力されることを許してしまう脆弱性を悪用した攻撃 | ||
| スタックバッファオーバーフロー | スタック領域を破壊して攻撃コードの実行や不正なパラメータを指定する | ||
| ヒープオーバーフロー | ヒープ領域を破壊して攻撃コードを実行や不正なパラメータを指定する | ||
| 整数オーバーフロー | 整数の演算結果が格納先の上限を超え、桁あふれが発生すること | ||
| ASLR(アドレス空間配置ランダム化) | スタック領域等のアドレスをランダム化することで攻撃の成功率を下げる | ||
| カナリアデータ | メモリにあらかじめ書き込んでおくチェックデータのことで、それが上書きされたときに通知を発する手法 | ||
| Use-After-Free | 解放済みのヒープ領域を利用して、任意のコードを走らせる手法 | ||
| DEP(データ実行防止機能) | 指定されたメモリ領域でのコードの実行を禁止する機能 | ||
| return-to-libc | スタックのリターンアドレスをlibc共有ライブラリの関数を呼び出すように書き換えて実行する攻撃 ※ASLRが有効な対策の一つ | ||
| クロスサイトスクリプティング攻撃 (XSS) | Webアプリケーションの脆弱性をついて、利用者のブラウザ上で不正なスクリプトを実行させる攻撃 | ||
| 反射型XSS | リクエストに仕込まれたスクリプトをレスポンス内に出力してしまう脆弱性をついた攻撃。 ■検証方法 リクエストにスクリプトを仕込み、レスポンスにスクリプトが出力されないことを確認する | ||
| 格納型XSS | リクエストに仕込まれたスクリプトがサーバ側に保存されてしまい、そのスクリプトをWebページに出力してしまう脆弱性をついた攻撃 ※ リクエストにスクリプトが含まれない | ||
| DOMベースXSS | Webページに含まれる正規のスクリプトによって動的にWebページを操作したときに、意図しないスクリプトを出力してしまう脆弱性をついた攻撃。 ※通信内にスクリプトを含めないことも可能(GETで#を使用した場合など) | ||
| クロスサイトリクエストフォージェリ (CSRF) | Webサイトにログイン中のユーザーのスクリプトを操ることで、Webサイトに被害を与える攻撃 ■対策 ・POSTメソッドを使用しhiddenフィールドにランダムな値をセットする ・重要な処理を実行する直前に再度パスワードの入力を求める ・Refererを参照し、正しいリンク元の場合のみ処理を実行する ・重要な操作が行われたら登録済みメールアドレスに自動送信する | ||
| パスワードクラック | |||
| ブルートフォース攻撃 | ユーザーIDを固定し、特定の文字数、文字種で設定され得るすべての組み合わせのパスワード試行する | ||
| リバースブルートフォース攻撃 | パスワードを固定し、何通りものユーザIDの組み合わせを試行する | ||
| 辞書攻撃 | 辞書に出てくる用語を順にパスワードに使用してログインを試行する | ||
| スニッフィング | 盗聴することでパスワードを知ること | ||
| リプレイ攻撃 | パスワードなどの認証情報を送信しているパケットを取得し、それを再度送信することでそのユーザになりすます攻撃 | ||
| パスワードリスト攻撃 | 他のサイトで取得したパスワードリストを利用して不正ログインを行う攻撃 | ||
| レインボー攻撃 | あらかじめパスワードとハッシュ値の組み合わせたリストを用意しておき、そのリストと突き合わせてパスワードを推測し不正ログインを行う攻撃 | ||
| インジェクション | |||
| SQLインジェクション | 不正なSQLを投入することで、通常はアクセスできないデータにアクセスしたり更新したりする攻撃 | ||
| OSコマンドインジェクション | Webサイト経由でOSコマンドを不正に実行させる攻撃 | ||
| HTTPヘッダインジェクション | HTTPレスポンスヘッダの出力処理に脆弱性がある場合に、レスポンス内に任意のヘッダーフィールドやメッセージボディを追加する攻撃 | ||
| HTTPレスポンス分割 | HTTPレスポンスに改行コードを追加することで複数のレスポンスを作り出す攻撃 | ||
| メールヘッダインジェクション | ユーザーがフォームに入力したデータをもとにメールを送信するWebアプリケーションにおいて、不正なメールヘッダを混入させることにより意図しないアドレスへメールを送信する攻撃 | ||
| DLLインジェクション | 強制的に指定したDLLファイルを注入し、プロセスを本来とは違う動作をさせる攻撃 | ||
| サイドチャンネル攻撃 | |||
| タイミング攻撃 | 処理時間を計測し、暗号内容を測定したり機密情報を得る方法 | ||
| 電力解析攻撃 | 消費電力を計測し、処理内容と消費電力の相関から機密情報を得る方法 | ||
| 電磁波解析攻撃 | 電磁波を測定し、秘密鍵を特定するなどの方法で機密情報を得る方法 | ||
| テンペスト攻撃 | 漏えい電磁波を解読して機密情報を得る方法 | ||
PDFファイルのダウンロード
投稿
0 件のコメント:
コメントを投稿