teratail
回答率
85.48%
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.48%
トップPHPに関する質問
PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

CSS

CSSはXMLやHTMLで表現した色・レイアウト・フォントなどの要素を指示する仕様の1つです。

Q&A

解決済

5回答

3029閲覧

まだ初心者です。クラッキングという物について教えてください。

gomatan1258
gomatan1258

総合スコア67

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

CSS

CSSはXMLやHTMLで表現した色・レイアウト・フォントなどの要素を指示する仕様の1つです。

0グッド

1クリップ

投稿2017/06/06 15:30

0

1

例えば、自分の作ったhtml、css、javascriptだけを使ったホームページを悪意のあるユーザーがクラッキングできたりするのでしょうか?
PHPなどはドットインストールなどでCSRF対策?というものをやっていますが、PHPを使わないときは、大丈夫なのでしょうか?
そこのところがいつもあいまいで、「脆弱性」などで調べても書いてある事が難しくていつも意味がわかりません。
初心者で申し訳ありませんが、ご教授ください。よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答5

0

例えば、自分の作ったhtml、css、javascriptだけを使ったホームページを悪意のあるユーザーがクラッキングできたりするのでしょうか?

どこにおいているかによるんじゃないかと思います

PHPなどはドットインストールなどでCSRF対策?というものをやっていますが、PHPを使わないときは、大丈夫なのでしょうか?

CSRF対策はPHP固有のものではないです。

投稿2017/06/06 15:36

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gomatan1258
gomatan1258

2017/06/07 00:18

どこにおいているかというのも当方は理解が怪しいですが、ffftpというものを使っていてマスターパスワードを入力して入るようにしています。これは大丈夫でしょうか?よろしくお願いします。
退会済みユーザー

退会済みユーザー

2017/06/07 11:15

マスターパスワードを設定することで安全性が向上するので、マスターパスワードを設定すること自体は悪いことではないです
gomatan1258
gomatan1258

2017/06/07 13:02

ご回答、アドバイスありがとうございます。
guest

0

ベストアンサー

JavaScript
1var url = decodeURIComponent(location.search.substring(3));
2if (url) {
3	document.write(url + 'へ飛びます');
4	setTimeout(function(url) { location.href = url; }, 5000, url);
5}

たとえばリファラをごまかすために中間ページを作り、そこにこんなスクリプトを書いておくとします。
しかしこれにはXSS脆弱性があり、Firefoxなどで任意のスクリプトを実行される可能性があります。
静的なページのみとしても気を付けておいたほうがいいのではないでしょうか?

投稿2017/06/07 02:44

x_x
x_x

総合スコア13749

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

think49
think49

2017/06/07 03:04

なるほど。悪意あるページへユーザを誘導すれば、CSRF+XSSで攻撃が可能ですね。 この場合、XSS対策を行う事で良しとするか、CSRF対策まで行う(各ページでセッションIDを発行して照合する)べきかは判断が分かれそうですが…。 (そもそも、HTTPリダイレクタをJavaScriptで実装する事に問題がある気がしなくもないです)
gomatan1258
gomatan1258

2017/06/07 12:57

ご回答ありがとうございます。詳しく教えていただいてありがとうございます。このjavascriptをhtmlのscriptタグにしこんで実行してみたらどうなるのでしょうか?当方がやっても何も変化が起きなかったです。
x_x
x_x

2017/06/08 02:16

挙げたのはただの例です。 外部からの値を信用して書き込んでいるところに問題があります。 ではどうすればいいのか? 考えてほしいところです。
gomatan1258
gomatan1258

2017/06/08 14:34

現段階では、よくわかってないところもあるのですが、なんにせよ、気をつけないといけないということですね。XSS脆弱性というものもネットで一生懸命勉強させていただきます。ありがとうございました。
guest

0

クラッキングと言うのはハッキングの一部を指し、
悪意をもってコンピューター内のデータ(プログラムを含む)を消したり書き換えたりすることです。
クラッキングには、コピープロテクトなど製品に施された利用制限を取り除く行為も含まれているため、最近は後者の意味で使われることが多く、前者は単にハッキングと呼ばれているように思います。

そして、あなたが作ったデータだけでホームページを作った場合でも、
クラッキングが行われる可能性はゼロではありません。
あなたが使っているIDとパスワードがばれてしまったり、
利用しているサーバーやホームページサービスにセキュリティホールがあったりするかもしれないからです。

でも、よく言われる基本的なセキュリティ対策をきちんとやっていれば、
そう簡単にクラッキングされる事はありません。

コンピューターのセキュリティアップデートを行い、最新の状態を保つこと。
自分でインストールしたソフトがあれば、そのアップデートも忘れずに。
パスワードの管理をきちんと行う。
(簡単にバレるような簡単なものにしたり、短いパスワードにしない。人に教えないなど)
ウィルスチェックソフトを利用する(有効期限が切れていないこと)。
怪しいサイトを見ない。
怪しいソフトをインストールしない。
などです。
もちろんこれは、ホームページを設置したサーバーだけでなく、
ホームページ作成に利用しているあなたのパソコンにも必要な対策です。

尚、CSRFと言うのは、WEBの仕組みを悪用し、
利用者に本人が想定しない操作を強制的に行わせることです。
例えば銀行のネットサービスがCSRF対策を行っていないと、
その銀行のホームページを開いていないのに勝手に送金されてしまったり
掲示板がCSRF対策を行っていないと、
その掲示板を開いてもいないのに勝手に知らない文章が自分の名前で投稿されたりします。
会員制のサービスでは、被害に遭うのは正規の利用者になります。
なので、CSRF対策は、
あなたが作ったホームページにログインや投稿の機能がある場合に施す必要がある対策になります。

CSRF被害の実例
http://d.hatena.ne.jp/keyword/%A4%DC%A4%AF%A4%CF%A4%DE%A4%C1%A4%C1%A4%E3%A4%F3%A1%AA

投稿2017/06/07 02:14

編集2017/06/07 02:23
chun
chun

総合スコア324

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gomatan1258
gomatan1258

2017/06/07 13:01

詳しく教えていただいてありがとうございます。パスワードが絶対に知られないようにしたいと思います。ウィルスチェックもして、怪しいサイトも避けたいと思います。CSRFのご説明もありがとうございます。
guest

0

「脆弱性」などで調べても書いてある事が難しくていつも意味がわかりません

調べましょう、としか言えません。
何が難しく感じるのか分かりませんが、日本語の記事もたくさんあるので理解しようと思えばプログラムコードを読み解くよりは楽だと思います。

まずはそこを理解することから初めてはいかがでしょうか。
最近出た質問で様々なセキュリティ対策についてどんなタイミングで対応すれば良いのか
表にまとまめて回答をしてくれている人がいます。

セキュリティーどれだけチェックしとけばよいのか??

投稿2017/06/07 01:06

m.ts10806
m.ts10806

総合スコア80850

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gomatan1258
gomatan1258

2017/06/07 13:02

ご回答ありがとうございます。セキュリティ対象一覧が見れてすごくわかりやすかったです。
guest

0

webサーバへの攻撃にはCSRF、XSS、SQLインジェクション、DoS、バッファオーバーランなどが考えられますが、前者3つはご提示の構成ですと攻撃を受けないと思われますし、後者2つについてはおそらくレンタルサーバだと思うので質問者が対策をするのは難しいでしょう。

今のところ、あまり気にする必要はないと思います。
サーバにDBを持ちコードが走るようなもの、たとえばwordpressなどを導入した時に改めて調べてみるといいかと思います。

投稿2017/06/07 02:08

Lhankor_Mhy
Lhankor_Mhy

総合スコア36074

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

gomatan1258
gomatan1258

2017/06/07 13:15

ご回答ありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップPHPに関する質問

まだ初心者です。クラッキングという物について教えてください。