Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。
個人情報などの重要な情報の入力を促して、入力した内容を窃取するように作られており、ユーザーは個人情報の流出やマルウェア感染などの被害に遭う恐れがあります。
有害な文字列(&,<,>,”,’)などを実行させないようにサニタイジングを実施しています。
不正なSQLコードを挿入し、データベースへの攻撃を行う手法です。
データベースで不正なSQLコードが実行されると、データ漏洩やデータ改ざんのリスクがあります。
SQLを安全に扱うことのできるプリペアドステートメントを使用して、不正なSQLコードが入力できないようにします。
ユーザーになりすまして不正なリクエストを送信する攻撃です。
ユーザーのアカウントに不正なアクセスが行われ、意図しない投稿や情報の改ざんが行われるリスクがあります。
投稿ページなどで一意なトークンを発行することで、正当なリクエストであることを確認します。
システムの脆弱性を利用して不正なOSコマンドを挿入し、サーバーへの攻撃を行う手法です。
不正なOSコマンドがサーバー上で実行されると情報漏洩やサーバーが乗っ取られるリスクがあります。
OSコマンドを実行できる関数の利用を制限することで、不正なOSコマンドの挿入を防ぎます。
ファイルやディレクトリに、不正なパスを挿入されることによって、参照、操作されてしまう攻撃です。
通常ではアクセス不能なデータに参照されてしまい、情報漏洩やデータ流出の危険性にさらされます。
ファイル名を参照する仕組みの場合には、ファイル名からディレクトリ情報を取り除く対策を実施しています。
アップロードしたファイルを通して、本来の仕様に意図しない動作を引き起こす攻撃です。
悪意あるファイルをアップロード・操作することで、サーバーへの侵入・参照・操作が可能になる危険性があります。
アップロードを許可するファイルタイプを制限し、PHPなどの実行可能ファイルはサーバーにアップロードできないよう対策しています。