動的ページを利用するサイトの中でもショッピング系サイト、金融取引サイト、株式投資などに関するサイトは特にセキュリティ問題に注意する必要があります。
具体的にはホームページの改ざんや、サーバー内に保管されている情報資産の流出を防ぎ、スパムメール配信の踏み台や、他のサーバーに攻撃するための目眩ましなどに利用されないようサイトを構築する必要があります。
これらの問題の原因は、セキュリティホール(脆弱性)と呼ばれ、プログラムの設計ミスやバグなどによって発生することが多いと言えます。例えば最近ですと、仮想通貨を扱う業者のコインチェックのハッキング被害が話題になりましたよね。
さてここでは、情報セキュリティー問題に関する代表的なもの3つをご紹介します。
–
■セッチョンハイジャック
攻撃者がユーザーの拙著ン情報を不正に取得し、他のユーザーに成りすまして不正にアクセスする手口を「セッチョンハイジャック」と呼びます。セッション管理情報の発行や管理に不備がある場合に危険性が高まります。セッションを盗まれると、個人情報が盗まれたり、オンラインショッピングで買い物されることがあります。
■XSS(クロスサイトスクリプティング)
ユーザーが入力した文字列を使って動的にHTMLページを生成するようなアプリケーションで、悪意のあるコードをユーザーのブラウザに送ることを「XSS(クロスサイトスクリプティング)」と呼びます。場合によってはCookieデータが盗用されるため、Cookieを認証やセッション管理に使っているWebサイトの場合、深刻な被害を受ける可能性があります。
■SQLインジェクション
データベースと連動したウェブサイトで、攻撃者がデータベースへの操作を行うSQL文を断片的に与えることで、データベースを改ざんしたり、不正に情報を入手することを「SQLインジェクション」と呼びます。SQLインジェクションが実行されるとデータベースに蓄積された膨大な情報が漏えい、改ざん、破壊されてしまい、大規模な被害が生じる可能性があります。