#01:最近のセキュリティ動向を知ろう
最近のセキュリティ動向について学習します。Webサイトの攻撃手法として有名なSQLインジェクションとクロスサイトスクリプティング(XSS)の概要を紹介します。
・目的: Webサイトの攻撃手法と対策方法を実践を通して理解すること
・対象者: PHP入門編を学習済みの人
PHP入門編: https://paiza.jp/works/php/primerfemale
HTML/CSS入門編: https://paiza.jp/works/html/primer
SQL入門編: https://paiza.jp/works/sql/primer
本レッスンの攻撃内容を外部のサイトにおこなうと犯罪になりますので、ご注意ください。
インジェクション:意図しないコードをシステムに注入し、実行させること
SQLインジェクション:インジェクションで意図しないSQLコードを実行させること
(具体例) 通常は参照できないデータベースの値を盗み見たり、データを破壊・改ざんしたりする
クロスサイトスクリプティング:
Webサイト側の意図しないスクリプトを何らかの方法でサイトに埋め込むことで、そのサイトの利用者のブラウザでスクリプトを実行させること
(具体例) 悪意のあるスクリプトによって、サイト内でユーザーが個人情報を表示するページを開いたときに、そのページの情報を第三者のサイトに送信する
1. デモページのユーザーパスワードを盗む
【SQLインジェクション】
・不正なSQLを実行させる
・データベースから他のユーザーのデータを盗む
【XSS】
・Webサイト側の意図しないスクリプトを埋め込む
・クッキーから情報を盗む
2. それぞれの手法についての対策をおこなう
【SQLインジェクション】
・ユーザー入力のSQLが実行されるのを防ぐ
【XSS】
・ユーザー入力がスクリプトとして実行されないようにする