【220101】ホワイトハッカー入門　Ｗｅｂアプリケーション攻撃の代表的手法１

（１） 攻撃のターゲット

Webアプリケーションの攻撃は、「Webアプリケーションの脆弱性」を攻撃する。
ハッキングにおいての攻撃ターゲットの一般は、サーバーが攻撃を受ける。
サーバーをターゲットとする攻撃を、「サーバーサイド攻撃」
Webアプリケーションの脆弱性を利用してサーバー内に保管してるシステムの情報を盗み出し、サーバーのOSで任意のコマンドを実行したり、データーベースなどに保管されてユーザーに個人情報を盗み出したりする。
Webアプリケーションのユーザーをターゲットにした攻撃を「クライアントサイド攻撃」と呼ぶ。ユーザーのPC上でJavaScriptを実行してセッションIDを盗み出し、Webサイトを改ざんしてフイッシングを行ったりします。

（２） Webアプリケーションの認証クラッキング

Webアプリケーションに「認証」が必要なものがある。
認証をクラッキングすることで、ユーザーになりすまし、個人情報を閲覧したり重要な行為をしたりするのが可能。

・パスワードクラッキング
　Webアプリケーションのユーザーアカウントを特定できる手法がある。
・セッションハイジャック
　セッションを盗み出す手法として
ネットワーク盗聴（セッションIDを盗聴盗みだす）、XSS攻撃（JavaScriptを使い、ユーザーのPCに保管されているセッションIDを盗み出す）、セッション固定攻撃（攻撃者が用意したセッションIDをユーザーに使わせる）
・SQLインジェクション／LDAPインジェクション（次回説明）
・パスワードリマインダー
　「秘密の質問」の答えを探す