サイト改ざん

クロスサイトスクリプティング(XSS)

Webサイトの脆弱性を利用し、記述言語であるHTMLに悪質なスクリプトを埋め込む攻撃です。

WEBサイト改ざん

個人情報などの重要な情報の入力を促して、入力した内容を窃取するように作られており、ユーザーは個人情報の流出やマルウェア感染などの被害に遭う恐れがあります。

入力文字の無毒化（サニタイジング）

有害な文字列（&，<，>，”，’）などを実行させないようにサニタイジングを実施しています。

データ漏洩

SQLインジェクション

不正なSQLコードを挿入し、データベースへの攻撃を行う手法です。

データ漏洩＆データ改ざん

データベースで不正なSQLコードが実行されると、データ漏洩やデータ改ざんのリスクがあります。

プリペアドステートメント

SQLを安全に扱うことのできるプリペアドステートメントを使用して、不正なSQLコードが入力できないようにします。

なりすまし

クロスサイトリクエストフォージェリ（CSRF）

ユーザーになりすまして不正なリクエストを送信する攻撃です。

セッションハイジャック

ユーザーのアカウントに不正なアクセスが行われ、意図しない投稿や情報の改ざんが行われるリスクがあります。

CSRFトークン

投稿ページなどで一意なトークンを発行することで、正当なリクエストであることを確認します。

サーバー乗っ取り

OSコマンド インジェクション

システムの脆弱性を利用して不正なOSコマンドを挿入し、サーバーへの攻撃を行う手法です。

情報漏洩＆サーバーの乗っ取り

不正なOSコマンドがサーバー上で実行されると情報漏洩やサーバーが乗っ取られるリスクがあります。

OSコマンド関数の利用制限

OSコマンドを実行できる関数の利用を制限することで、不正なOSコマンドの挿入を防ぎます。

不正アクセス

ディレクトリトラバーサル

ファイルやディレクトリに、不正なパスを挿入されることによって、参照、操作されてしまう攻撃です。

不正アクセス

通常ではアクセス不能なデータに参照されてしまい、情報漏洩やデータ流出の危険性にさらされます。

ディレクトリ参照禁止

ファイル名を参照する仕組みの場合には、ファイル名からディレクトリ情報を取り除く対策を実施しています。

サーバー侵入

ファイルアップロード攻撃

アップロードしたファイルを通して、本来の仕様に意図しない動作を引き起こす攻撃です。

サーバー侵入

悪意あるファイルをアップロード・操作することで、サーバーへの侵入・参照・操作が可能になる危険性があります。

アップロード機能制限

アップロードを許可するファイルタイプを制限し、PHPなどの実行可能ファイルはサーバーにアップロードできないよう対策しています。