aaaiiuie

学習(備忘録)のため運用

個人メモ:参考になったWebページ

このページはあくまでも学習のため、参考になったWebページを貼り付けているだけのページになります。 個人的な学習を進めていく上でとても参考になったため、今後のためこのページに記しておきます。

same-origin hasegawa.hatenablog.com

CORS qiita.com

DMZ www.sbbit.jp

DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた www.shadan-kun.com

クロスサイトリクエストフォージェリ(CSRF) www.trendmicro.com

コマンド&コントロール(C&C)サーバ www.trendmicro.com

BYOD www.otsuka-shokai.co.jp

IKE kotobank.jp

RADIUS www.infraexpert.com

セッションハイジャック siteguard.jp-secure.com

セッションフィクセーション cybersecurity-jp.com

セッションハイジャックとセッションフィクセーションの違い

セッションID固定化攻撃と同じような攻撃手法に「セッションハイジャック」がありますが、この2つはセッションIDの乗っ取り方に違いがあります。

セッションID固定化攻撃は、攻撃者が事前に用意したセッションIDを正規ユーザーに利用させることで成立します。しかし、セッションハイジャックは正規ユーザーが利用中のセッションIDをネットワークの盗聴などによって、奪うことで成立するのです。

先ほどお話したセッションIDを盗み出す手口でいえば、セッションID固定化攻撃は「セッションIDのお膳立て」であり、セッションハイジャックは「セッションIDの盗み出し」となります。結果としては、どちらも正規ユーザーになりすますことができる攻撃ですが、なりすますまでにセッションIDを盗み出す方法が異なることを覚えておきましょう。