一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • 脆弱性診断 脆弱性の種類

前回、脆弱性診断の診断実施後の対応について述べました。
今回は脆弱性の種類について説明していきます。

脆弱性は以下のようなものがあります。

・インジェクション系
SQLインジェクション
コマンドインジェクション
クロスサイトスクリプティング

・認証系
認証回避
ログアウト機能の不備や未実装
脆弱なパスワードポリシー
復元可能なパスワード保存
パスワードリセットの不備

・認可制御の不備・欠落
権限の不正な昇格
強制ブラウズ
パラメーター操作による不正な機能の利用

・セッション管理の不備
セッションフィクセイション
クロスサイトリクエストフォージェリ
CookieのHTTPOnly属性未設定
推測可能なセッションID

・情報漏洩
パスワードフィールドのマスク不備
エラーメッセージによる情報露出
機微情報の表示
HTTPS利用時のSecure属性不備
機微情報の平文保存
HTTPSの不適切な利用
不要な情報の存在

・その他
パストラバーサル
オープンリダイレクタ
リモートファイルインクルージョン
クリックジャッキング

The following two tabs change content below.

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア