Web制作者の常識、開発エンジニアの常識 | スラド セキュリティ
d'Arc曰く、"去る2006年7月22日、第8回 WegSig会議が行われた。これはWebディレクターや制作者を対象としたイベントであるが、先日はWebのセキュリティに関する技術的な側面がメインで語られた。 タレコミ子も参加したのだが、第一部で、株式会社ラックの吉田聡氏が講演中にWebディレクター、制作者がメインの聴衆に対して「SQLインジェクション」という言葉を知っている人、と尋ねたところ6割程度の人しか手を挙げなかったのが意外に感じられた。だが一方で、第二部の株式会社ビジネス・アーキテクツの太田良典氏の話では、「HTMLに詳しくないと理解できない脆弱性もある」、システム会社は「HTMLの知識が9年前のまま」等、Web制作者側からの視点での意見が述べられた。確かに、タレコミ人の周囲の人間も「CSSって何?」レベルな人が多いので耳が痛い話であった。 双方がHTMLやCSS、システムの両方
企業や官公庁サイトの半数が重要情報に不正アクセス可能な状態 - CNET Japan
NRIセキュアテクノロジーズは7月24日、企業や官公庁のウェブサイトのうち半数が個人情報など重要情報への不正アクセスが可能であるという調査結果をを発表した。 この調査結果は、企業と官公庁の計167のウェブサイトを対象に実施した診断サービスの結果をもとにしたもの。それによると、50%のサイトが重要情報へのアクセスができてしまう状態だった。これは、2004年度の43%を比べて大きく増加している傾向にある。また、情報漏洩につながる可能性があるものは29%、危険度の高い問題が発見されなかったのは21%となっている。 重要情報への不正アクセスが可能となる問題の種類としては、なりすまし、権限昇格、SQLインジェクションのうち、特にSQLインジェクションが35%と非常に多い。2004年度と比較した場合、なりすましは33%だったものが30%と減少したが、権限昇格は11%から22%となり、SQLインジェクシ
SQLインジェクション攻撃が激増
SecureWorksによれば、1~3月には1日当たり100~200件程度だったSQLインジェクション攻撃が、4月に入って1000件から4000件、8000件という規模になったという。 ITセキュリティ管理サービスの米SecureWorksは7月18日、銀行や信用組合、公益企業を標的としたSQLインジェクション攻撃が、過去3カ月で激増していると発表した。 1~3月にかけて同社が遮断したSQLインジェクション攻撃は1日当たり100~200件程度だったが、4月に入って激増し、1000件から4000件、8000件という規模になったという。 攻撃の大部分は米国外から仕掛けられ、特定の組織に標的を絞る傾向が見られると同社。攻撃が巧妙になれば顧客データベースにアクセスされ、口座番号やクレジット番号、社会保障番号などが盗み出される恐れがあると解説している。 最近のSQLインジェクション攻撃としては、昨年
Webアプリケーション攻撃の大半が「ボット」と「Googleハッキング」
米Fortify Softwareが米国時間7月17日,主にWebベースのアプリケーションを狙ったサイバー攻撃に関する調査結果を発表した。それによると,現在インターネットを脅かしている攻撃パターンは大きく分けて4種類あり,過去半年で最も多いのはボット攻撃だった。 ボット攻撃は,現在Webアプリケーションを狙った攻撃の50%以上を占める。ボット攻撃は,セキュリティ対策が施されていないWebアプリケーションのコンポーネントを探す行為で,アプリケーションの構造によって危険性がほとんど無い場合と,大きな被害に発展する場合がある。またワームなどによる次段階の攻撃につながる可能性がある。 次に多いのは,Fortifyが「Googleハッキング」と呼ぶ攻撃で,全体の20%以上を占める。これはGoogleなどの検索エンジンが蓄積しているWebサイトの脆弱性に関する情報を利用して,ターゲットを定める攻撃だ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
