| 1. |
DNSキャッシュポイズニング |
再帰問い合わせに回答するDNSサーバーに対し、脆弱性あるいは偽装したパケットを利用して偽のDNSレコードを覚えこませる(キャッシュさせる)行為。毒を注入する行為に似ていることから、キャッシュポイズニングと呼ばれる。 |
| 2. |
セッションID固定化(Session Fixation) |
攻撃者があらかじめ用意したセッションIDを正規利用者のブラウザに送り込んでおくことで、このことに気づかず正規利用者がパスワードを入力するなどしてログインした後、攻撃者がこのセッションIDを使って正規利用者になりすます攻撃手法。 |
| 3. |
バインド機構 |
入力値を文字定数としてあらかじめ準備された文字列に組み込むために用意された、プログラミング言語における関数の機能。 |
| 4. |
エスケープ処理 |
人名など任意文字を許可する入力文字列を扱う場合、これが任意のSQL文として機能しないようにする必要がある。SQL文の文字列定数では次のような文字が特別な意味を持つ。
| ・ |
「'」文字列定数の終端 |
| ・ |
「\」エスケープ文字 |
これらの特殊文字をSQL文の文字列定数中で「'」や「\」というそのままの文字として表現するためには、それぞれ、
のように表記する必要がある。この文字の置き換えをエスケープ処理と呼ぶ。たとえば「The bride's dress costs \500,000.」という文字列をINSERT
するときは、 INSERT INTO MSG_TABLE VALUES ( ' The bride''s dress costs \\500,000.'
)とする。
(参考)IPA セキュア・プログラミング講座http://www.ipa.go.jp/security/awareness/vendor/programming/ |
| 5. |
NTP |
Network Time Protocolの略。機器内部に存在する時計を、ネットワークを経由して外部の標準時サーバーと時刻同期を行うプロトコルのこと。サーバーから正確な時刻を定期的に参照することで、機器同士の時刻を合わせることができる。 |
| 6. |
フェイルオーバー |
障害が発生した場合に、代替サーバーが処理やデータを引き継ぐ機能。相互に状態を確認しながら、データの同期をとって動作している。障害発生時には、処理とデータを直ちに代替サーバーへ引き継ぐので、利用者は障害の影響を受けることがなく、継続的に通信を行うことができる。 |
| 7. |
rootkit |
ログの改ざんツール、裏口(バックドア)ツール、改ざんされたシステムコマンド群などのツールをパッケージ化したもの。セキュリティホールなどを利用して他人のクライアントPCやサーバーに不正侵入を行なった攻撃者が、ツール群を素早く導入するために用いることが多い。OSのカーネルモードで動作するものもあり、rootkit自体の存在が隠蔽されてしまっている場合は、見つけ出すことが非常に困難である。 |
