ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。 本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。 本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利
_SQL Serverが狙われるにはまだまだ理由がある 徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由があるにおいて、SQLインジェクションで別のSQL文を注入するためには、複文のサポートが必要で、SQLインジェクションの文脈でこれが可能であるDBMSはMS SQL ServerとPostgreSQLであることを示した。 ここで、複文を記述するには、セミコロン「;」で複数のSQL文を区切ると説明していたが、マイクロソフトの公表している文書によると、SQL Serverにおいては、複文の区切りにセミコロンは必要ないことが分かったので報告する 注意 複数の SQL ステートメントを区切るのに、セミコロンは必ずしも必要ありません。必要かどうかは、ベンダまたはインプリメンテーションによって異なりますが、Microsoft SQL server では
最近TL上で「新しいタイプのSQLインジェクション攻撃」というキーワードを見かけます。情報元をたどっていくとどうやらこの攻撃は「LizaMoon(ライザムーン)攻撃」という名称の模様。攻撃で用いられた手法があまりないパターンであったということでどういうものか調べてみました。 (1) LizaMoon攻撃とは何か 先月末、3/29にwebSenceのBlogに「新しい悪意ある大規模なインジェクションが行われた」として、次のポストが行われました。 Websense Security Labs and the Websense Threatseeker Network have identified a new malicious mass-injection campaign that we call LizaMoon. Websense customers are protected wit
(Credits: Wayne Huang, Crane Ku, Sun Huang, and other members of Armorize) After reading some coverages regarding the recent Adobe Flash 0day (actually not any more, patch is released), CVE-2010-1297, we couldn't help but notice that not many analysis were able to "hit the point" on this wave of robint.us and 2677.in attacks. So we've decided to provide our perspective. Summary first: Server-side:
Researchers uncover a watering hole attack likely carried out by APT TA423, which attempts to plant the ScanBox JavaScript-based reconnaissance tool.
モンベルは、同社ウェブサーバが不正アクセスを受けて顧客情報が漏洩した問題で、漏洩内容や原因など詳細を明らかにした。 流出が判明したのは、同社ウェブサーバ内に保存されていたオンラインショップの受注データの一部。2010年1月25日3時39分から翌26日6時37分にかけて、断続的に中国のIPアドレスを発信元とするSQLインジェクション攻撃が行われ、漏洩したという。2009年末より増加している「Gumblar攻撃」との関連については否定した。 流出したデータは、2009年11月1日から2009年1月26日6時37分までに同社オンラインショップでクレジットカード決済を行った顧客のクレジットカード番号や有効期限など1万1446件。ただし氏名や住所、電話番号、メールアドレスは含まれていないとしている。 同社では、所管する経済産業省へ事故を報告し、警察へ被害を届けた。また顧客に対して個別に連絡を取ってお
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く