対策すべきセキュリティ項目

liginc.co.jp
gozal.cc
qiita.com

viral-community.com

「悪意のあるスクリプト」を埋め込むためには、Webサイト上に入力フォームがある必要があります。 例)掲示板
この入力フォームに「悪意のあるスクリプト」を埋め込むわけですね。「スクリプト」とは、一般的に「javascript」を指します。入力フォームに「javascript」を埋め込む事が、クロスサイトスクリプティングXSS)の基本的な手法になります。
クロスサイトスクリプティングXSS)による脅威は、様々なものがあるんですが、例(有名どころ)として下記二点を解説していきます。
・訪問者のクッキー情報を抜き取るスクリプトを埋め込む事による「セッションハイジャック
・訪問者の個人情報の入力を促す入力フォーム(HTMLタグ)を埋め込むことによる、個人情報の不正搾取
クロスサイトスクリプティングXSS)は、「<」と「>」などの文字を、特殊文字(タグ)として認識するブラウザの仕様を利用した攻撃手法になります。
対策
クロスサイトスクリプティング対策としてやるべき5つのこと | 三度の飯とエレクトロン
d.hatena.ne.jp
http://www.websec-room.com/2013/03/19/636
qiita.com

  • スクリプトインジェクション・・・JavaScriptなどを埋め込んだメッセージを投稿し、第三者に表示・実行させる攻撃

不正アクセスへの対策 | PHP Labo

sqli.md · GitHub
対策:すべてのパラメータを正しくエスケープするか、プレースホルダを使う。
俺の脳内選択肢が、SQLインジェクション対策を全力で邪魔している — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
qiita.com

  • クロスサイト・リクエスト・フォージェリー (CSRF)

リクエスト強要(CSRF:Cross-site Request Forgery)とは、別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を呼び出すようユーザを誘導する攻撃である。

www.ipa.go.jp

qiita.com
qiita.com

・セッション固定攻撃に対する対策
ログイン後にsession_regenerate_idを必ず実行する.
ログアウト後にsession_destroyを必ず実行する

ディレクトリ遡り攻撃
不正アクセスへの対策 | PHP Labo
データファイルへのブラウザ経由(http://〜)でのアクセスを拒否する方法


d.hatena.ne.jp