XSS
クロスサイトスクリプティング。悪意あるスクリプトをページに埋め込む攻撃
CSRF
クロスサイトリクエストフォージェリ。ユーザーの意図しないリクエストを送らせる攻撃
SQLインジェクション
悪意あるSQLを入力してDBを不正操作する攻撃
HTTPS
通信を暗号化するプロトコル。盗聴・改ざんを防ぐ
CORS
オリジン間リソース共有。異なるオリジンへのリクエストを制御する仕組み
CSP
コンテンツセキュリティポリシー。XSS対策としてスクリプトの実行元を制限するHTTPヘッダ
JWT
JSON Web Token。署名付きトークンで認証情報を安全に伝達する
セッション管理
セッションIDの安全な生成・保存・無効化の仕組み
パスワードハッシュ化
bcryptなどを使いパスワードを安全に保存する方法
クリックジャッキング
透明なiframeを重ねてユーザーを騙してクリックさせる攻撃
ディレクトリトラバーサル
../を使いサーバーの意図しないファイルにアクセスする攻撃
HTTPセキュリティヘッダ
X-Frame-Options、HSTS、X-Content-Type-Optionsなどのセキュリティ関連ヘッダ
OAuth 2.0
認可フレームワーク。第三者アプリへのアクセス権を安全に委譲する
レートリミット
APIへのリクエスト数を制限してブルートフォース攻撃を防ぐ
サブリソース整合性(SRI)
CDNから読み込むファイルの改ざんを検出する仕組み
オープンリダイレクト
外部URLへの無制限なリダイレクトを悪用する攻撃
マスアサインメント
リクエストパラメータが意図しないフィールドに代入される脆弱性
安全でない直接オブジェクト参照(IDOR)
IDを推測して他ユーザーのリソースにアクセスできる脆弱性
ゼロデイ脆弱性
発見されたが修正パッチがまだ存在しない脆弱性
多要素認証(MFA)
パスワード以外の認証要素を追加してアカウント乗っ取りを防ぐ