情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。
それでは、学習スタートです!
■SSP(Stack Smashing Protection)
スタック領域に「カナリア」もしくは「guard」と呼ばれる値を埋め込むことでBOF攻撃を検知する技術。
コンパイラによって生成される中間言語にBOF検出のためのコードを生成する。
「カナリア」という呼称は炭鉱などで危険なガスの検知にカナリアが使われていたことからきている。
■XSS(Cross Site Scripting)
WebアプリケーションやWebページを操作するJavaScriptなどの脆弱性を利用し、HTMLに悪質なスクリプトを記述し実行する攻撃。
XSSの種類としては反射型XSS、格納型XSS、DOM Based XSSなどがあり、不正なスクリプトを実行してセッション管理情報を盗んだり、マルウェア感染を行ったりする。
■DOM(Document Object Model)
HTMLやXML文章を構成するテキスト・タグ・属性などの各種要素をオブジェクトとして扱い、それらを木構造のモデルで表現することでアプリケーションから操作するための仕組み。
■ARP(Address Resolution Protocol)
IPアドレスからネットワーク上のMACアドレスを求めるためのプロトコル。
■CSRF(Cross Site Request Forgeries)
Webアプリケーションのユーザ認証やセッション管理の不備を突いて、サイトの利用者にWebアプリケーションに対する不正な処理要求を行わせる手法。
外部サイトへの不正なリンクをクリックすることにより、意図せずパスワードを変更させられる、サービスから退会させられる、商品を注文させられるなどの問題が発生する。