コンテンツ情報
公開日 |
2023/02/15 |
フォーマット |
URL |
種類 |
製品資料 |
ページ数・視聴時間 |
15分45秒 |
ファイルサイズ |
-
|
要約
サイバー攻撃者は設計ミスや設定不備など、さまざまな脆弱性を突いてシステムに侵入しようとしてくる。こうした脆弱性の情報は、世間で大きく取り上げられていれば自然と耳に入るが、リスクが高い割にあまり知られていないものも多い。
例えば「Apache HTTP ServerのOSコマンド実行脆弱性(CVE-2021-41773)」はその1つだ。一階層上のディレクトリを表す特殊な記号を使って、本来アクセスできないファイルへ到達する“パストラバーサル攻撃”が有効になってしまうもので、これでOSコマンドも実行できてしまうため、サーバ上のデータの窃取や改ざん、バックドア設置などの攻撃につながる恐れがある。
本動画ではこの他に、「X-Forwarded-Forヘッダを利用したアクセス制御回避」「Matrix URIの解釈違いによるパストラバーサル」を加えた3つの“マイナー”な脆弱性について、その攻撃原理や対策、検知の方法を解説する。その上で、日々発表されるこのような脆弱性に対応してWebアプリケーションの安全性を維持するための、セキュリティ診断の重要性について考察している。