ソニー・ミュージックの日本語サイトにSQLインジェクション攻撃?
セキュリティ対策企業の英Sophosは5月23日(現地時間)、ソニー・ミュージックエンタテインメント(SME)の日本語サイト(sonymusic.co.jp)がSQLインジェクションによる攻撃を受け、不正アクセスされた可能性があるというブログ記事を掲載した。 記事によると、あるハッカーが、SMEの日本語サイトをハックしたことをTwitterで報告し、脆弱性のあるURLとデータベース構造をネット上に公開した。このデータベースにはユーザーの個人情報は含まれていないようだが、ハッカーによるとほかにデータベースは2つあるという。 ハッカーがデータベースに不正アクセスできたかどうかは不明。万が一不正アクセスに成功された場合、データベースに悪意のあるプログラムを仕込まれ、SMEサイトを閲覧したユーザーが被害を受ける可能性もある(マイクロソフトによるSQLインジェクション攻撃の解説)。 同ブログは前日に
第42回 PostgreSQL 9.0に見るSQLインジェクション対策 | gihyo.jp
PostgrSQL 9.0から追加されたエスケープ関数から、SQLインジェクション対策を再度解説してみたいと思います。 SQLインジェクション対策の4原則 基本的にはSQLインジェクション対策として以下の原則を守っていれば、SQLインジェクションに脆弱なアプリケーションを作ることはありません。 すべてのパラメータを文字列としてエスケープする すべてのパラメータをプリペアードクエリのパラメータとして処理する 文字エンコーディングの設定をAPIで行う パラメータとして処理できない文字列はバリデーションを行う 原則1と原則2は重複して適用する必要はありません。どちらかを行います。文字エンコーディングの設定やプリペアードクエリのエミュレーション・抽象化ライブラリのバグ等でSQLインジェクションが可能になる場合もありますが、通常であればこの原則を守っている限りSQLインジェクション脆弱性を作ることは
Mundane Life: MySQL の Prepared Statement
Sunday, April 10, 2011 MySQL の Prepared Statement けさは、SQL インジェクションを少しだけ勉強したので、それに関して、ごく私的なメモを書き残しておこうと思う。情報処理推進機構 (IPA) の 「安全なウェブサイトの作り方」 では、SQL インジェクションの脆弱性を予防するための根本的解決として、まず第一に 「SQL 文の組み立ては全てプレースホルダで実装する」(改訂第5版 p.9) と述べている。 プレースホルダーには、動的プレースホルダーと静的プレースホルダーがあって、これらについては IPA の 「安全な SQL の呼び出し方」 が詳しい。 また、最近刊行された 『体系的に学ぶ 安全な Web アプリケーションの作り方』(徳丸浩著 ソフトバンククリエイティブ ISBN978-4-7973-6119-3) にも詳しい解説が載っている。大
SQLインジェクションのコードが書かれたナンバープレート
もしこれでオービスなどの速度違反チェック機器のシステムがダウンしたら、それはオービス側の設計ミスというよりは、このギークの方が天晴れ、という気がしますね。 [See Also] Joel Johnson(いちる)
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
ボットやSQLインジェクション攻撃の発信元は中国がトップに、マカフィー調べ
マカフィーは2009年10~12月期のサイバー脅威動向を発表し、ボットやSQLインジェクション攻撃の発信元は中国がトップになったと伝えた。 マカフィーは2月15日、2009年10~12月期のサイバー脅威動向をまとめたリポートを発表した。中国が発信元となる脅威の拡大や政治目的とみられる攻撃の増加などを報告している。 コンピュータの不正操作などを狙う不正プログラム「ボット」の製造では、中国が12%を占めてトップになった。7~9月期に13%でトップだった米国が9%で2位となり、以下はブラジルとドイツが続いた。スパム生成元では米国、ブラジル、インドの順だった。 SQLインジェクション攻撃は中国が全体の54%を占めた。特にAdobeのFlashやAcrobatなどの脆弱性を悪用しようと、クライアントを標的にした攻撃が多数観測されたという。悪質なコンテンツのホスト地域では、北米がトップになり、2位は欧
Unu's blog » Blog Archive » Symantec exposed passwords,serials… SQL Injection, full database access
“Symantec was founded in 1982 by visionary computer scientists. The company has evolved to become one of the world’s largest software companies with more than 17,500 employees in more than 40 countries.Symantec helps consumers and organizations secure and manage their information-driven world. Our software and services protect against more risks at more points, more completely and efficiently, ena
Symantecの日韓ユーザー向けサイトに不正アクセス、情報漏えいはなし
Symantecは同社サイトに不正アクセスがあったことを確認した。調査中だが、情報漏えいなどの可能性はないとしている。 「Unu」を名乗るルーマニアのハッカーが米Symantecのサイトに不正アクセスしたという事件について、Symantecは攻撃の事実を確認したことを明らかにした。状況を調査しているという。 同社によると、不正アクセスがあったのは日本と韓国のNortonユーザー向けにサポートを提供しているWebサイト。同サイトにSQLインジェクションの脆弱性があり、脆弱性を突かれてデータベースへ不正に侵入された。 データベースにはユーザーの氏名やクレジットカード情報などが保管されていたが、データはすべて暗号化されており、外部への漏えいや悪用された事実はないという。Unuはブログで、パスワードなどデータはプレーンテキストのままだったと主張しているが、Symantecはこれを否定した。 Sym
Symantecサイトに攻撃、日本のサーバが被害に?
ルーマニアのハッカーがアクセスしたと公言しているSymantecのサーバは、日本での技術サポート用サーバのようだという。 米SymantecのWebサイトがSQLインジェクション攻撃を仕掛けられてハッキングされた模様だと、競合するセキュリティ企業のTrend Microがブログで伝えた。 Symantecのサイト攻撃は「Unu」を名乗るルーマニアのハッカーがブログで公言したもので、Trend Microによれば、ハッキングされたのはPC-Doctor社の「Norton PC Expert」を通じた日本での技術サポートに使われているサーバのようだという。 Unuはブログの中で、Symantecストアのデータベースに記録された個人情報やプロダクトキーなどの情報にアクセスすることができたと主張。しかもそこに保存されたユーザーや従業員のパスワードは暗号化されておらず、プレーンテキストのままだったと
シマンテックのウェブサイト、ブラインドSQLインジェクション攻撃の被害に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国時間11月23日、「unu123456」と名乗るルーマニア人研究者がブログで明らかにしたところによると、同氏はブラインドSQLインジェクション攻撃によってSymantecのサーバに侵入し、データベースからパスワードなどの顧客情報を盗み出すことに成功したという。ZDNet.co.ukによると、これについてSymantecも24日に被害を認め、「pcd.symantec.comにSQLインジェクションに対する脆弱性があることが分かった」と述べている。同社によれば、被害を受けたのは日本および韓国のNorton製品ユーザーのサポートに利用されるウェブサイトという。
ページが見つかりません | 日本HP
ページが見つかりません。 目的のページは、移動または削除によって無効になっている可能性があります。申し訳ありませんが、検索またはリンク先よりお探しください。
レコメンドエンジンを検討してみた - MugeSoの日記
運営してるサイトへレコメンド機能を導入するため、レコメンドエンジンをどうするか検討している。 考えられる選択肢は現段階では3つ。 Cicindelaの導入 Vogooの導入 新規エンジンの構築 とりあえず、前者二つを比較検討してみる。 Cicindela Vogoo 実装言語 Perl PHP 対応DB MySQL >= 5.0 MySQL, PostgreSQL インターフェイス WebAPI PHPクラス インストール 全手動,キモイ*1 Webインターフェイスあり 柔軟性 ◎ × マニュアル 日本語と英語 英語のみ ソースの美しさ ○ × 他への影響 設定次第 global変数で汚染 利用実績 livedoor クリップ他 映画生活 CicindelaはMySQLのMemoryストレージエンジン*2を用いたメモリ上の一時テーブルを中間テーブルに利用することで高速化を図っているっぽい。
SQLインジェクションやXSSって何されるの? (1/2)
Q.SQLインジェクションはどのような攻撃ですか? A.Webアプリケーションが持つ欠陥や仕様上の問題点を利用した攻撃です。 狙われるWebサイト 「SQLインジェクション」は、日本では2005年ごろからWebサイトの攻撃手段として使用されはじめた。ワコールオンラインショップの個人情報漏えい(2005年11月)などのWebサイト攻撃事件にも使用され、情報セキュリティの専門家だけでなく、一般にも名前を知られるようになった。 SQLインジェクションを簡単に説明すると、Webアプリケーションの脆弱性を利用して、外部からデータベースの内容を不正に操作する攻撃である。具体的には、Webサイトにウイルスを埋め込んで閲覧したユーザーのPCに感染させたり、他のユーザーのクレジットカード番号といった個人情報を表示させて盗み出してしまう。 そして、2008年3月頃から世界中でこのSQLインジェクション攻撃によ
文字列に変換してSQLインジェクションを100%防ぐ? | 水無月ばけらのえび日記
公開: 2009年4月29日13時55分頃 「WEBマーケティング研究会: 第1回・SQLインジェクション (www.webdbm.jp)」。 この記述には度肝を抜かれました。 SQLインジェクションは、予期しない変数や命令文に対処できないアプリケーションの脆弱性です。根本的な対策としては、アプリケーションに渡す変数をすべて文字列に変換すれば、SQLインジェクションを100%防ぐことができます。 文字列に変換すれば100%防げる!? SQLインジェクションはそもそも、「1 OR 1=1--」とか「foo' OR 1=1--」とかいった文字列を渡して攻撃するのです。文字列を文字列に変換しても何も起きないわけでして、全く意味のない話だと思うのですが……。よく見ると、続きにはこう書いてあったりします。
ニュージーランドのレジストラがクラックされ、著名なサイトに多数影響 | スラド セキュリティ
トルコのクラッカーがニュージーランドにあるドメインレジストラ Domainz.net の DNS レコードのハイジャックに成功し、ニュージーランドの Microsoft、HSBC、コカコーラ、ファンタ、F-secure、Bitdefender (アンチウイルスソフト)、Sony および Fuji Xerox など多数のサイトに影響が出た (zone-h の記事、ZDNet Japan の記事より) 。 クラッキングを行ったのは The Peace Crew として知られる集団に属する agd_scorp と名乗る人物で、氏はこれまでも MSN や Microsoft のサイトに多数の攻撃を行っていることで知られているという。今回被害を受けた Microsoft や Live のサイトでは、"STOP THE WAR ISRAEL" というメッセージの他に 10 年前に発生したビル・ゲイツへ
そろそろSQLインジェクションについてひとこと言っておくか。 - だらだらやるよ。
ちょっとSQL Injectionについて未だに情報が少ないのにいらついていたので。 というか対策ばっかりで何ができますよーってのはほとんどログインできますよーくらいじゃねえか。 具体的な攻撃方法もわからずにぼんやり対策してるだけの人多いような気がするのでちょっと攻撃方法書いとく。 SQLインジェクションってなに? アプリのユーザ入力領域からSQL文を注入されてしまうこと。 サーバでこういうコード書いてると、user_nameに「' or '1'='1';#」とか書かれて素敵なことになる。(mysqlの場合) String sql = "SELECT * FROM users WHERE = name = '"+user_name+"' AND password='"+user_password+"'"; 簡単に言うと、開発者の意図しないSQLをユーザの入力によって行う攻撃手法ですね。 S
[PDF] ホワイトリストコーディングによる SQL インジェクション攻撃耐性保証方法と実装
All rights are reserved and copyright of this manuscript belongs to the authors. This manuscript has been published without reviewing and editing as received from the authors: posting the manuscript to SCIS 2009 does not prevent future submissions to any journals or conferences with proceedings. SCIS 2009 The 2009 Symposium on Cryptography and Information Security Otsu, Japan, Jan. 20-23, 2009 Th
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「注意喚起」の記事 | セキュリティ対策のラック
Android Malware Eavesdrops on Users, Uses Google+ as Disguise
vogooって SQLインジェクション脆弱性あんじゃん... - Wassr [お気軽メッセージングハブ・ワッサー]