タグ

GDOと脆弱性に関するmi1kmanのブックマーク (1)

  • 「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明

    ゴルフダイジェスト・オンライン(GDO)への不正アクセスは,同社データベースへのSQLインジェクション攻撃であることがわかった。 GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。 この攻撃の影響で,GDOの配信メールの一部に不正なURLが埋め込まれ,URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは,2008年

    「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明
    mi1kman
    mi1kman 2008/10/06
    「『今までにない新しい手法のSQLインジェクションだった』」が「Cookieを悪用した新手のSQLインジェクションについて警告が出ているが,この件との因果関係については『コメントできない』」そうだ
  • 1