お勉強十三日目 「クロスサイトスクリプティング攻撃したら女子力高すぎて彼氏が死んじゃった☆(ゝω・)vキャピ」
こんにちは。タイトルで落ちていますね。
色々勉強していたら、SQLインジェクション攻撃なる単語を知りました。名前だけ聞くとなぜかロマンを感じてしまうんですが、実体はSQL文を入力してデータベースを改ざんしたり情報を入手したりすることだそう。聞いてみると案外あっさりしている内容で、それだけで攻撃になるの?と思ってしまいました。
しかし過去にはカード番号のデータがこの攻撃で漏洩したりすることもあったそうで、案外馬鹿に出来ません。
次はバッファオーバーフロー攻撃。これは名前のままで凄く分かりやすい。要するにバッファで用意されたサイズよりも大きなデータを入力することでプログラムの挙動をおかしくする攻撃のようです。
挙動がおかしくなる理由なんですが、調べてみたらバッファを超えた部分にある「関数に戻るためのアドレス」を書き換えて「悪意のあるコードのあるアドレス」にすることで攻撃を行うそう。こんなのよく考えますね。
しかもその悪意のあるコードというのはバッファ部分に書き込むんだそう。ページ読みながら思わずため息が出てしまいました。これは思いついた人間はしたり顔していそう。
最後がクロスサイトスクリプティング攻撃。もう、格闘ゲームの技の名前だよねこれ。絶対そうでしょう。クロスチョップの発展形だって。「クロスサイトスクリプティング攻撃したら女子力高すぎて彼氏が死んじゃった☆(ゝω・)vキャピ」みたいな。
内容をざっくり書くと、要するに対策されていない動的なサイトを利用してスクリプトを動かすってことでいいのかな?個人情報を入力したら別のサイトにデータが飛んでいた、なんてことに使われているみたいですね。さっきの馬鹿馬鹿しい想像とちがって恐ろしい内容です。
こういう内容を面白いといってしまうのはおかしいのかもしれませんが、読んでいて感服というか、感動すら覚えてしまいました。暇な時間があったら調べてみるのもいいかもしれません。
それでは ノシ
参照したサイト(URLのみ)
http://e-words.jp/w/SQLE382A4E383B3E382B8E382A7E382AFE382B7E383A7E383B3.html
http://technet.microsoft.com/ja-jp/library/dd362952.aspx
http://www.techmatrix.co.jp/security/watchfire/w_attackofappli/attack5_xss.html
http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html
http://www.atmarkit.co.jp/fsecurity/special/110buffer/buffer04.html