Webサイトのセキュリティでよく出てくる用語を51語、「定義 → なぜ危険か → 確認方法」の順でやさしく解説します。各用語ページから無料健診へ進めます。
入力値を悪用してデータベースを不正操作される攻撃。情報漏洩や改ざんに直結します。
悪意あるスクリプトを他の利用者のブラウザで実行させる攻撃。Cookieやセッションを盗まれます。
ログイン中の利用者に意図しない操作を実行させる攻撃。設定変更や送金に悪用されます。
「../」などでファイルパスを遡り、公開範囲外のファイルを読み取られる攻撃。
入力値を悪用してサーバ上で任意のOSコマンドを実行される攻撃。乗っ取りに直結します。
遠隔から任意のプログラムを実行される最も危険な脆弱性。サーバ乗っ取りの典型。
サーバに任意の宛先へ通信させ、内部ネットワークやクラウドメタデータを窃取される攻撃。
XMLの外部実体機能を悪用し、サーバ内ファイル読み取りや内部通信を行わせる攻撃。
自サイトを踏み台に任意の外部サイトへ誘導される問題。フィッシングに悪用されます。
IDを書き換えるだけで他人のデータにアクセスできてしまう認可の不備。
実行可能ファイルを設置され、サーバ乗っ取り(Webシェル)に至る問題。
透明な枠を重ね、利用者に気づかせず意図しない操作をさせる攻撃。
パスワードを片端から試して突破する攻撃。弱いパスワードや無制限な試行が原因。
他サービスから漏れたID/パスワードの一覧で不正ログインを試みる攻撃。
ログイン状態を表すセッションを盗み、本人になりすます攻撃。
権限チェックの漏れで、一般利用者が管理機能や他人のデータに到達できる問題。
出荷時の既定ID/パスワードが残ったまま公開され、容易に侵入される問題。
Cookieの保護属性。未設定だとログイン情報を盗まれやすくなります。
読み込んでよいスクリプト等の取得元を制限するヘッダ。XSSの最後の砦。
自サイトを他サイトのフレームに埋め込ませない設定。クリックジャッキング対策。
ブラウザのファイル種別の推測を止める設定(nosniff)。誤実行を防ぎます。
通信を暗号化し盗聴・改ざんを防ぐ仕組み。未対応サイトは入力情報が傍受されます。
常にHTTPSで接続させるヘッダ。未設定だとHTTPへ誘導され盗聴される余地が残ります。
信頼の連鎖をたどる中間CA証明書。欠落すると証明書エラーになります。
HTTPSページ内にHTTPの要素が混ざる状態。暗号化が部分的に破れます。
証明書の期限切れでブラウザに警告が出て、サイトが実質利用不能になる問題。
そのドメインからメールを送ってよいサーバを宣言する仕組み。なりすまし対策の基本。
なりすましメールの扱い(隔離・拒否)を指示する仕組み。SPF/DKIMの総仕上げ。
送信メールに電子署名を付け、改ざんと正規送信元を検証できる仕組み。
正規を装った偽サイト・偽メールで認証情報や個人情報を盗む攻撃。
データを暗号化し身代金を要求するマルウェア。事業停止級の被害を招きます。
通信の途中に割り込み、盗聴・改ざんを行う攻撃。暗号化が防御の要。
大量のアクセスでサービスを停止させる攻撃。可用性が狙われます。
利用しているライブラリや取引先を経由して侵入する攻撃。
修正が未提供の脆弱性を突く攻撃。防御が間に合わない最も厄介な脅威。
世界で最も使われるCMS。プラグインやテーマ、本体の脆弱性・設定不備が狙われやすい。
WordPress専用の脆弱性スキャナ。本体・プラグイン・テーマの既知脆弱性やユーザーを検出。
WordPress侵害の最大の入口。古い・脆弱なプラグインやテーマの既知脆弱性が悪用される。
投稿者アーカイブやREST APIからログインユーザー名を外部から特定される問題。
WordPressの外部連携API。総当たりの効率化やDDoSの踏み台に悪用されることがある。
wp-config.phpやDBバックアップ、debug.logが公開され、認証情報や内部情報が漏れる問題。
公表された脆弱性に付く世界共通の識別番号。優先対応の手掛かり。
脆弱性の深刻度を0〜10で表す世界標準の指標。対応の優先度付けに使います。
Webの代表的なリスク10種をまとめた世界的なガイド。診断の基準になります。
Webアプリ向けの防御。不正なリクエストを検知・遮断する緩和策。
攻撃者目線で実際に侵入を試み、悪用可能性まで検証する手動中心の評価。
既知の弱点を網羅的に洗い出す評価。広く浅く全体像を把握します。
外部から接続できるポート(入口)を調べること。不要な開放は攻撃の入口に。
外部スクリプト等の改ざんをハッシュで検証する仕組み。配信元侵害の被害を防止。
エラーや設定の不備で内部情報が漏れる問題。攻撃の手掛かりを与えます。
フォルダ内のファイル一覧が見えてしまう設定不備。情報露出につながります。