隠されていたSQLインジェクション ― @IT
サブクエリによって引き起こされるSQLインジェクションの被害 星野君 「へぇ~……」 星野君は、「なるほど」と感心した。しかし、少し考えた後で「これを悪用できるのだろうか?」という疑問がわいた。 星野君 「けど、結局のところ、メールアドレスが判別できるっていうだけの被害じゃないですか?条件文を追加したら登録情報が全件見えちゃった、とかいうわけでもないですし……」 赤坂さん 「えー。SQLインジェクションの被害って、そんな単純なのじゃないよ。この状態で、データベースの中の情報抜けちゃうって」 星野君 「え?マジっすか??」 赤坂さん 「例えば最初に、テーブル名の1文字目を判別する条件式を付けて……」 前述のように、追加するSQL文が「' and '1' = '1」などのような単純なものの場合は特に問題にならない。しかし、この条件文にはサブクエリのような複雑なものを入れることが可能なのである(
USBメモリを悪者にしないための“プラスアルファ”
USBメモリを悪者にしないための“プラスアルファ”:セキュリティTips for Today(1)(1/3 ページ) 1つの脅威に対して取れる対策は複数の方法があり、その中から運用に適した方法を選択すべきです。日ごろから現場と密接に連携するサポートサービスは、脅威の特性を熟知し、複数の対策案から現場にあったものを選んでもらう必要があります。本連載ではサポートエンジニアがそのノウハウを、今日使える“Tips”として解説します(編集部) はじめまして。今回から連載を担当することになりました、飯田と申します。私が勤務するトレンドマイクロでは、安全なデジタル情報を交換できる世界の実現を目指し、さまざまな不正プログラム対策に関するソリューションを提供しています。私はスレットモニタリングセンター(Threat Monitoring Center)のシニアスレットリサーチエンジニア(Senior Thr
「DEFCON18」でハッカーが繰り広げた知的遊戯(1/3) - @IT
三井物産セキュアディレクション株式会社 ビジネスデベロップメント部 主席研究員 草場 英仁 2010/11/22 毎年恒例のハッカーの祭典「DEFCON」が、今年もラスベガスで開催されました。筆者が参加した「Network Forensic」コンテストの解説を中心に、その模様をお伝えします(編集部) 今年も無事開催、「DEFCON 18」 少し前の話になってしまいますが、世界中のハッカーにとって毎年恒例の夏の大イベント、DEFCON 18が米国はラスベガスのホテルリビエラにて今年も開催されました。 DEFCONといえば「CTF」という言葉を聞いたことがある方もいるかもしれません。世界中から数百ものチームが予選に参加するセキュリティ技術のコンテスト「CTF(Capture The Flag)」は、DEFCONの目玉企画となっています。これ以外にも会期中は種々雑多なコンテストが開催されており、
「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
Web Security Dojo
Specializing in information and IT security assessments and training: Ethical hacking, penetration testing, and cybersecurity validation. A free open-source self-contained training environment for Web Application Security penetration testing. Tools + Targets = Dojo What? Various web application security testing tools and vulnerable web applications were added to a clean install of Ubuntu v16.04LTS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
