セキュリティ

TCP/IPモデルのレイヤー別のセキュリティ対策

【結論】 ・インターネットの通信は、いくつかの通信プロトコルからなっており、それらの階層構造を表した代表的なものに「TCP/IP」がある ・「TCP/IP」は、アプリケーション層・トランスポート層・インターネット層・ネットワークインターフェース層に階層…

セキュリティグループとネットワークACL

【結論】 ・セキュリティグループとネットワークACLは、 いずれもセキュリティを強化する為に 通信を制限したり許可する仕組み ・セキュリティグループは、送受信両方を、 ネットワークACLは送信か受信のどちらかを 任意で設定できる違いがある。 【目次】 …

基本的な脆弱性攻撃について(SQLインジェクション、XSS、CSRF)

【結論】 ・SQLインジェクションとは、 フォームに直接SQLを入力する事で、 意図しないSQL文を実行させる攻撃手法 ・XSSとは、入力フォームなどを用いて WebページにJavaScriptなどのスクリプトを仕込み、 意図しない動作を実行させる攻撃手法 ・CSRFとは、…

同期が作ったアプリをハッキングしてみた

【結論】 ・ハッキングは、攻撃する側の方が圧倒的に有利・HTTPリクエスト/レスポンスを読み解けば、 アプリの仕様が分かる 【目次】 同期のアプリをハッキングした アプリ概要 点数の改竄(バージョン1.0) 非同期通信の突破(バージョン2.0) Cookieが…

reCAPTCHAを導入する方法

【結論】 ・reCAPTCHAとは、 Botなどによる悪質なアクセスを防ぐ為の機能・「ロボットではありません」と書かれた チェックボックスにチェックすることで、 ロボットであるか判定を行う・ロボットかどうかの判定する手法は 他にも様々ある。 【目次】 reCAPT…