XSS攻撃への対策方法
XSS(クロスサイトスクリプティング)への対策方法
1. サニタイジング(スクリプトの無害化)
2. 入力値の制限(バリデーション処理)
1. サニタイジング(スクリプトの無害化)
エスケープ処理 (HTMLで特別な意味を持つ文字を意味を持たない文字へ変換)
2. 入力値の制限(バリデーション処理)
不必要な文字種、文字帳入力させないようにする
セキュリティ
セキュリティ:セッションハイジャック対策
公開:2026.04.24 14:42
セッションハイジャックとは?
推測や盗聴、窃取などの不正な手段で入手したセッションIDを用いて正規のユーザーになりすまし、セッションを乗っ取るサイバー攻撃。
セッションIDの推測
攻撃者は対象となるシステムに繰り返しアクセスすることで、セッションIDの生成規則や傾向を分析することでセッションIDを推測する。
長くランダム性の高いセッションIDを使うこと。
長くランダム性の高いセッションIDを使うこと。
セッションIDの窃取
通信が暗号化されていない場合、パケットキャプチャソフトで通信内容を盗聴しセッションIDが不正取得される。
またXSS(クロスサイトスクリプティング)にセッションIDが盗まれる場合もある。
またXSS(クロスサイトスクリプティング)にセッションIDが盗まれる場合もある。
セッションIDの固定化
攻撃者が事前に用意したセッションIDを正規のユーザーで利用させセッションを乗っ取る手法。
対策
1. URLにセッションIDを含めない
2. 推測されにくいセッションIDを採用する
3. ログイン成功後にセッションIDを再発行する
4. cookieに属性を加える
2. 推測されにくいセッションIDを採用する
3. ログイン成功後にセッションIDを再発行する
ログインのたびに新しいセッションIDを付与することで、攻撃者が事前に用意したセッションIDが使えなくなる
4. cookieに属性を加える
Secure属性 - 暗号化通信(https)の時にのみ送信を制限
HttpOnly属性 - JavaScriptなどのスクリプトからのアクセスを抑制
SameSite属性 - 異なるサイトからアクセスがあった場合にCookieを送信させない
HttpOnly属性 - JavaScriptなどのスクリプトからのアクセスを抑制
SameSite属性 - 異なるサイトからアクセスがあった場合にCookieを送信させない
セキュリティ
メモ:時間外労働についての基本的な考え方
公開:2026.04.21 11:21
時間外労働についての基本的な考え方
参考:業務時間外にアプリで上司から連絡した場合どうなる? パターン別・時間外労働の考え方と企業にできる予防
時間外労働
2023/4/1より法定時間外労働が1ヶ月で60時間を超えた場合は、その超えた時間以降の割増賃金が50%に引き上げ
時間外労働
- 法定時間外労働
- 所定時間外労働
1日8時間・週40時間の法定労働時間を超えて労働すること
労働基準法で定められた労働時間の上限
25%の割増賃金が発生
労働基準法で定められた労働時間の上限
25%の割増賃金が発生
- 所定時間外労働
会社が法定労働時間以内の時間で設定した労働時間を超えた労働
2023/4/1より法定時間外労働が1ヶ月で60時間を超えた場合は、その超えた時間以降の割増賃金が50%に引き上げ
メモ
登録:
コメント (Atom)