言葉は知られていても危険性までは認識されていない「SQLインジェクション」

IPA／ISECは、不正アクセスを受けWebサーバが改ざんされた5月の事例を踏まえ、Webアプリケーションについてもセキュリティ対策が必要であると呼びかけた。 情報処理推進機構セキュリティセンター（IPA／ISEC）は6月6日、2005年5月のウイルスおよぶ不正アクセスの届出状況をまとめ、公開した（別記事参照）。 この中でIPA／ISECは、不正侵入報告10件のうち、Webサーバに侵入されてコンテンツを改ざんされた事件が7件あり、うち1件では、ユーザーがWebページを閲覧しただけでウイルスに感染する仕組みを埋め込まれていたことをに言及。この事例では、原因は不明だが「セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにもかかわらず、サーバへの侵入を許す結果」となった。 IPA／ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでな

[ka-wara]

050607火09,

[tks_period]

ヒューマンエラーは置いといて、そもそもDB系の人がWebとかに来ると忘れやすいかもなぁ、とちょっと思った。

[cx20]

「将来、セキュリティを意識した開発を行う場合に追加料金を要するベンダーは淘汰されてしまう可能性も」

[sin5]

SQLインジェクション怖いよ。SQLのパラメータに想定外の文字入れて想定されてない動作引き起こさせる物です。

[wacky]

発注側は仕方がないとして受注側は知っていて当然だ。個人情報保護法の施行された今、さらに重要に。

[se-mi]

SQLインジェクション

[koyhoge]

言葉だけでどういうものか知られていないとは、ライターの一人としてしょんぼり

[kjee]

SQLインジェクション解説