前回、脆弱性診断の診断実施後の対応について述べました。
今回は脆弱性の種類について説明していきます。

脆弱性は以下のようなものがあります。

・インジェクション系
SQLインジェクション
コマンドインジェクション
クロスサイトスクリプティング

・認証系
認証回避
ログアウト機能の不備や未実装
脆弱なパスワードポリシー
復元可能なパスワード保存
パスワードリセットの不備

・認可制御の不備・欠落
権限の不正な昇格
強制ブラウズ
パラメーター操作による不正な機能の利用

・セッション管理の不備
セッションフィクセイション
クロスサイトリクエストフォージェリ
CookieのHTTPOnly属性未設定
推測可能なセッションID

・情報漏洩
パスワードフィールドのマスク不備
エラーメッセージによる情報露出
機微情報の表示
HTTPS利用時のSecure属性不備
機微情報の平文保存
HTTPSの不適切な利用
不要な情報の存在

・その他
パストラバーサル
オープンリダイレクタ
リモートファイルインクルージョン
クリックジャッキング

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

田中 勇也

最新記事 by 田中 勇也 (全て見る)

• 脆弱性の種類　意図しないファイル公開 - 2024年4月30日
• 脆弱性の種類　バッファオーバーフロー - 2024年3月31日
• パスワードリセットの不備 - 2024年2月29日