サニタイズの基本 - memo.xight.org
Summary 入門 Ajax pp.16 より。 [2013-03-30] 追記 このエントリは、参考にしてはいけない。 SQLインジェクション MySQL PHP $sql = mysql_escape_string($sql); MySQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g; PostgreSQL PHP $sql = pgsql_escape_string($sql); PostgreSQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g; SQLite PHP $sql = sqlite_escape_string($sql); OSインジェクション Linux PHP $str = escapeshellarg($str); Linux Perl $str =~ s/'/\\'/g; XS
確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に
前回,SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日本IBMの東京セキュリティオペレーションセンター(以下,東京SOC)では,PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に,リモート・ファイル・インクルード(RFI)攻撃は非常に多く,東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は,現在のRFI攻撃の動向を紹介する。 RFI攻撃は,Webアプリケーションのぜい弱性を利用して標的とするサーバーに,外部のサーバーから悪意あるファイルを読み込ませる攻撃である。攻撃者は標的サーバー上で当該ファイルに記述された任意のコードを実行させる。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
