クロスサイトスクリプティング（XSS）

Webアプリケーションの脆弱性を悪用し、悪意のあるスクリプトをWebページに埋め込む攻撃。XSSと略され、閲覧者のcookieの窃取や偽ページの表示などが行われる。

Webアプリケーションの脆弱性を悪用して、利用者のブラウザ上で不正なスクリプトを実行させる攻撃。攻撃者が仕込んだスクリプトにより、Cookie情報の窃取やセッションハイジャック、偽のページ表示などが行われる。

Webアプリケーションの脆弱性を悪用し、利用者のブラウザ上で悪意のあるスクリプトを実行させる攻撃手法。XSSとも略され、Cookie窃取やセッションハイジャック、偽ページ表示などの被害を引き起こす。入力値のサニタイジングで対策する。

Webアプリケーションの脆弱性を利用して、悪意のあるスクリプトをWebページに埋め込み、閲覧者のブラウザ上で実行させる攻撃手法。XSSと略され、Cookie窃取やセッションハイジャックに悪用される。入力値のサニタイジング（エスケープ処理）が主な対策。

Webアプリケーションの入力値を通じて不正なSQL文を挿入・実行させる攻撃手法。データの不正取得、改ざん、削除などが可能になる。対策としてプレースホルダ（バインド機構）の使用、入力値の検証、エスケープ処理、最小権限のDBアカウント使用がある。

ログイン済みの利用者に対し、攻撃者が用意した罠のWebページを経由して、利用者の意図しないリクエストを正規のWebサイトに送信させる攻撃。対策としてCSRFトークンの埋め込みと検証、SameSite属性付きCookieの使用、Refererヘッダの検証がある。

Webアプリケーションの入力値を通じて、サーバ上でOSのコマンドを不正に実行させる攻撃手法。PHPのexec関数やsystem関数など、外部コマンドを実行する機能への入力値が適切にサニタイズされていない場合に発生する。対策としてコマンド実行関数の使用回避、入力値の厳格な検証がある。

Webアプリケーションのファイルパス指定の脆弱性を利用して、「../」などの相対パス表記により、本来アクセスが許可されていないディレクトリやファイルに不正にアクセスする攻撃。対策としてパス名やファイル名をパラメータとして受け取らない設計、入力値のバリデーションがある。

HTTPレスポンスヘッダに改行コードを含む不正な値を挿入し、レスポンスヘッダやボディを操作する攻撃。Cookieの不正設定、偽のレスポンスボディの挿入、キャッシュ汚染などが可能になる。対策として改行コードの除去や外部入力値のヘッダへの直接出力の回避がある。

Lockheed Martin社が提唱したサイバー攻撃の段階モデル。偵察、武器化、配送、攻撃、インストール、遠隔操作（C&C）、目的達成の7段階で攻撃を分析し、各段階での防御策を検討する。