自動SQLインジェクション攻撃への新たな防御戦術

SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。 従来のSQLインジェクション攻撃 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標

[rmsg]

SQLインジェクションについて、攻撃が高度化しているという話

[ockeghem]

『Webアプリケーション配備プロセスのすべての段階における確実なコードレビュー、そして本番配備前のセキュリティテストが、以前にも増して重要になっている』<タイトルとは裏腹に古典的な防御戦術だがこれが正解

[ha-g1]

万が一に備える、ではなくて当然と思って備える。…過去の残骸が一番怖いな。。。