What is web application security?

Webアプリケーションのセキュリティは、あらゆるビジネスにとって重要です。一般的なWebアプリケーションの脆弱性とその軽減方法について学ぶ。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Webアプリケーションセキュリティのコアコンセプトを学ぶ
  • 一般的なWebアプリの脆弱性/悪用事例を調べる
  • 脅威を軽減する一般的な方法を理解する

記事のリンクをコピーする

Webアプリケーションセキュリティとは?

Webアプリケーションのセキュリティ

Webアプリケーションセキュリティは、Webベースのビジネスの中心的なコンポーネントです。インターネットのグローバルな性質により、Webプロパティはさまざまな場所、規模、複雑性を持つ攻撃にさらされています。Webアプリケーションのセキュリティは、特にWebサイト、Webアプリケーション、APIなどのWebサービスを取り巻くセキュリティを扱います。

一般的なWebアプリのセキュリティ脆弱性とは?

Webアプリに対する攻撃は、対象を絞ったデータベース操作から大規模なネットワークの中断にまで及びます。一般的に利用される攻撃または「ベクトル」の一般的な方法のいくつかを調べてみましょう。

  • クロスサイトスクリプティング(XSS -XSSは、攻撃者がクライアント側のスクリプトをWebページに挿入して、重要な情報に直接アクセスしたり、ユーザーになりすましたり、ユーザーをだまして重要な情報を開示させたりできる脆弱性です。
  • SQLインジェクション(SQi)-SQiは、攻撃者がデータベースが検索クエリを実行する方法の脆弱性を悪用する方法です。攻撃者はSQiを使用して、不正に情報へのアクセスを取得したり、ユーザー権限を変更したり新たに作成したり、機密データを操作したり破壊したりします。
  • サービス拒否(DoS) および分散型サービス拒否(DDoS)攻撃 -さまざまなベクトルにより、攻撃者は標的となるサーバーまたはその周辺インフラストラクチャをさまざまな種類の攻撃トラフィックによって過負荷にすることができます。サーバーが着信要求を効果的に処理できなくなると、サーバーの動作が遅くなり、最終的に正当なユーザーからの着信要求に対するサービスが拒否されます。
  • メモリ破損-メモリ破損は、メモリ内のロケーションが意図せずに変更されると発生し、ソフトウェアで予期しない挙動が発生する可能性があります。不正な行為者は、コードインジェクションやバッファオーバーフロー攻撃などの搾取を介して、メモリの破損を探り出し、悪用しようとします。
  • バッファオーバーフロー-バッファオーバーフローは、ソフトウェアがバッファと呼ばれるメモリ内の定義されたスペースにデータを書き込むときに発生する異常です。バッファの容量がオーバーフローすると、隣接するメモリロケーションがデータで上書きされます。この挙動を悪用して、悪意のあるコードをメモリに挿入し、標的となるマシンに脆弱性を作成する可能性があります。
  • クロスサイトリクエストフォージェリ(CSRF)クロスサイトリクエストフォージェリでは、被害者をだまして、自身の認証または許可を利用するリクエストを作成させます。ユーザーのアカウント権限を活用することにより、攻撃者はユーザーを装ったリクエストを送信できます。ユーザーのアカウントが侵害/危害を受けると、攻撃者は重要な情報を盗み出し、破壊、または変更できます。管理者や役員などの高い権限を持つアカウントは、一般的に標的にされます。
  • データ漏えい-特定の攻撃ベクトルとは異なり、データ漏えいは、機密情報の開示を指す一般的な用語であり、悪意のある行為または過誤により発生する可能性があります。データ漏えいと見なされる範囲はかなり広く、ごく少数の非常に貴重な記録から、何百万ものユーザーアカウント情報の流出まで含まれます。

脆弱性を軽減するためのベストプラクティスとは?

Important steps in protecting web apps from exploitation include using up-to-date encryption, requiring proper authentication, continuously patching discovered vulnerabilities, and having good software development hygiene. The reality is that clever attackers may be able to find vulnerabilities even in a fairly robust security environment, and a holistic security strategy is recommended.

Web application security can be improved by protecting against DDoS, Application Layer and DNS attacks:

WAF-アプリケーション層攻撃に対する保護

WebアプリケーションファイアウォールまたはWAFは、悪意のある HTTP トラフィックからWebアプリケーションを保護するのに役立ちます。標的とされるサーバーと攻撃者の間にフィルターバリアを配置することにより、WAFはクロスサイト偽造、クロスサイトスクリプティング、SQLインジェクションなどの攻撃から保護することができます。 CloudflareのWAFについての詳細をご確認ください。

DDOS WAFの仕組み

DDoS対策

A commonly used method for disrupting a web application is the use of distributed denial-of-service or DDoS attacks. Cloudflare mitigates DDoS attacks through a variety of strategies including dropping volumetric attack traffic at our edge, and using our Anycast network to properly route legitimate requests without a loss of service. Learn how Cloudflare can help you protect a web property from DDoS attacks.

DNS増幅DDoS攻撃のアニメーション

DNSセキュリティ-DNSSEC保護

ドメインネームシステム(DNS)は、インターネットの電話帳であり、Webブラウザなどのインターネットツールが正しいサーバーをルックアップする方法を表します。不正行為者は DNSキャッシュポイズニング中間者攻撃およびその他のDNSルックアップライフサイクルに干渉する方法を利用してこのDNSリクエストプロセスをハイジャックしようとします。DNSがインターネットの電話帳であるとすると、DNSSECはなりすまし不可能な発信者IDです。Cloudflareを使用することでどのようにDNSルックアップを保護できるのかご確認ください。