Webサイト開発時の対策が最も重要
SQLインジェクション攻撃に対抗する際に,最も重要なのは企業のWebサイトの対策だ。サイト開発時にWebアプリケーションにSQLインジェクションのぜい弱性を作らないことが第一である。 そのためにはWebアプリケーションがデータベースに不正なSQLを渡さないよう,Webサイトの実装を工夫する必要がある。例えばデータベースでバインド機構を利用する,データベースに渡すSQLに適切なエスケープ処理を施すといった対策が有効だ(図1)。 こうした対策を実施するのは,技術的にはさほど難しくない。しかし,インターネット上にはSQLインジェクションのぜい弱性を残したWebサイトが今でも多数存在する。試しにSQLインジェクション攻撃を受けたWebサイトに特有の文字列をGoogleで検索してみると,改ざんされたWebサイトが多数検出できる(図2)。これは,対策の必要性や手法をすべての開発者に教育するのが非常に難
Adobeがクリック乗っ取りの回避策公開、Firefoxはプラグインで防止
米Adobe Systemsが当面の攻撃回避策を紹介している。Firefox用プラグインのNoScriptは攻撃防止機能を盛り込んだアップデートを公開した。 Webサイトでユーザーが意図しないリンクをクリックさせられる「クリックジャッキング」(Clickjacking)問題で、米Adobe Systemsが当面の攻撃回避策を紹介している。Firefoxでは、攻撃防止機能を盛り込んだプラグイン「NoScript」のアップデート版が公開された。 クリックジャッキング問題は、Internet Explorer(IE)やFirefoxなどの主要ブラウザとAdobe Flashに存在し、ユーザーが意図しないリンクやボタンなどをクリックさせられる恐れがあるとされる。各ベンダーともまだ公式の修正パッチは公開していない。 Adobeによると、Flash Player 9.0.124.0とそれ以前のバージョ
契約者固有ID
契約者固有IDは,iモードやEZweb,Yahoo!ケータイといった携帯Webアクセスを利用するユーザーに割り振られるID番号のことである。このID番号は,ユーザーが携帯Webアクセスを利用しているときに,ユーザーの知らない間にアクセス先のWebサイトに送られる(図1)。 契約者固有IDの目的は,ユーザーがIDを入力しなくてもWebサイトにログインできるようにしたり,ユーザーの一連のアクセスを識別したりすることにある。このような契約者固有IDの形式と送られ方は,通信事業者ごとに異なる。NTTドコモが2008年3月31日に契約者固有IDを送信するしくみを組み込んだことで,携帯Webアクセスを提供しているNTTドコモ,KDDI,ソフトバンクモバイル,イー・モバイルの4社が対応することになった。 Webサイト側には,同じユーザーからのアクセスであれば,同じ契約者固有IDが送られてくる。ただし,携
無線LANの暗号を解読...WEPは一瞬で解ける - 森井教授のインターネット講座(神戸大学大学院工学研究科教授 森井昌克)
CSS2008は明日から沖縄で開かれるのですが,その中で我々の研究グループの発表が数件あります.その中で『WEPを一瞬で解読する方法』を発表します.今まで,発表された方法では,理論的に解読されたとはいえ,現実に解読することは,かなり困難でした.昨年4月にダルムシュタット大学(ドイツ)から発表された,Tewsらによる「60秒でWEPを解読する」という論文も,現実には,不正アクセスを行う必要があり,無条件に解読することは不可能でした.我々の方法では,一瞬でWEPの鍵を導出できます.詳しくは,発表の中で.
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
JavaScriptインジェクション攻撃
F-Secure「JavaScript Injection Attack」より September 18,2008 Posted by Choon Hong このところJavaScriptインジェクション攻撃が流行している。マルウエア感染を広める有効な手段として,この種の攻撃を活用するマルウエア作者が増えている。 ほんの1年前まで,悪意ある攻撃者が頼りにしていたのは攻撃用Webサイトを指す(電子メール,検索リンク,またはインスタント・メッセージング・ワームの)リンクに人々を誘導する手法だった。今では,JavaScriptインジェクション攻撃を利用し,Webサイトの訪問者をやすやすと「誘拐」してしまう。この攻撃は,いわば闇世界のハッカーたちがマルウエアをまん延させるのに使うアーミーナイフである。 我々が確認したところ,アクセス数の多いWebサイトの多くがJavaScriptインジェクション攻
USBメモリ関連の不正プログラム「オートラン」の感染被害報告が過去最多に
トレンドマイクロ10月6日、2008年9月度の「インターネット脅威マンスリーレポート」を発表した。9月の不正プログラム感染被害の総報告数は5847件で、8月の6520件から減少している。 感染被害報告数ランキングでは、USBメモリ関連の不正プログラムである「MAL_OTORUN」(オートラン)が8月に引き続いて1位となり、前月に比べて2倍以上の感染報告が集まっている。この背景には、不正なautorun.infによるリムーバブルメディアへの感染機能が、ワームの感染活動のひとつとして定番化してきたことが挙げられるという。 実際に、同社の研究所において9月に収集した新しいワーム検体のうち、53.7%がUSBメモリに感染する機能を備えていた。また、9月中旬にはVisaやMasterCardといったクレジットカード会社からのメールを装ったウイルスメールが日本国内でも発見され、このメールはUSBメモリ
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明
ゴルフダイジェスト・オンライン(GDO)への不正アクセスは,同社データベースへのSQLインジェクション攻撃であることがわかった。 GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。 この攻撃の影響で,GDOの配信メールの一部に不正なURLが埋め込まれ,URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは,2008年
CookieにSQLインジェクションを埋め込む新手の手口、ラックが緊急注意喚起
株式会社ラックは10月2日、新手のSQLインジェクションを行使するボットが確認されたとして緊急注意喚起を行った。 同社のサイバーリスク総合研究所のコンピュータセキュリティ研究所が緊急注意喚起レポートを公開。それによると、Cookieに攻撃を組み込むことでIDS/IPS、WAFなどの防御システムをすり抜ける、新手のSQLインジェクション攻撃を行使するボットが確認されたという。同攻撃はラックのJSOCでも9月30日から検知されており、実際に被害にあったWebサイトも確認されたため、今回、注意喚起を行ったとしている。 SQLインジェクションは、Webサイトに不正スクリプトを埋め込む攻撃。通常、GETメソッドやPOSTメソッドを利用し、URIの部分に攻撃の内容が含まれているのだが、今回の攻撃は、Cookieの値に対してSQLインジェクションを行うよう進化していた。 Cookieに攻撃が含まれるため
iPhoneのJailbreakの危険性に関してひと言
iPhoneをハックして、Appleが認めている以上のカスタマイズを可能にしたり、Apple公認のApp Store以外からのソフトをインストール可能にしたり、することをJailbreak(=脱獄)と言うのだが、PhotoShareでの会話とかを見ていると、その危険性をちゃんと理解せずにJailbreakしている人たちがたくさんいるようなので、ひとこと警告しておく。 まず最初に考慮しておくべきことは、iPhoneはNintendo DSやSony PSPと違い、携帯電話でありメールマシンであり、インターネットマシンであり、住所録やらメールやらウェブサイトのパスワードなどの個人情報を思いっきりやりとりする、ある意味パソコン以上にプライバシー管理が大切なマシンであること。当然、ウィルスに感染したり、セキュリティホールからハッカーに情報を盗まれたりしないようにすることがものすごく大切。 パソコン
第15回 減らないSQLインジェクション脆弱性(解答編) | gihyo.jp
前回はSQLインジェクション攻撃について解説しました。冒頭にSQLインジェクション対策に関するクイズを5問出しました。 SQLインジェクションはエスケープ処理を確実にしていれば大丈夫? プリペアードクエリを利用していれば大丈夫? SQLインジェクションはデータベース構造を知らないと攻撃が難しい? SQLインジェクションはWebアプリケーションファイアーウォールで防御できる? 文字エンコーディングベースのSQLインジェクションは文字エンコーディングが正しければ行えない? SQLインジェクションクイズの答え 前回の記事で出題したSQLインジェクションクイズの答え編です。前回の記事の解説には答えとなる解説を行っています。もし、答えと解説に疑問を持たれた方は前回の記事をご覧ください。
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起
ラックは10月2日,新手のSQLインジェクション攻撃を仕掛けるボットを確認したとして,Webサイトの管理者などに向けて注意喚起した(ラックの緊急注意喚起レポート)。同社では9月30日にボットを検知した。攻撃対象として確認されているのは,Microsoft Internet Information Server/Services(IIS)上のASP(Active Server Pages)/ASP.NETを使ったWebアプリケーション。今までとは異なる手口を使うため,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)といった防御システムをすり抜けてしまう。既に,ページを改ざんされ,悪質サイトへのリンクを埋め込まれたWebサイトも確認済みだという。 SQLインジェクションは,Webアプリケーションに不正な入力値を送ってSQLクエリーを実行させ,Webペ
ECサイト構築システム「EC-CUBE」に脆弱性、SQLインジェクション攻撃に注意
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は10月1日、ロックオンが提供するオープンソースのECサイト構築システム「EC-CUBE」に複数の脆弱性が確認されたと発表した。 特に、EC-CUBEによって構築されたECサイトが外部からSQLインジェクション攻撃を受けた場合、EC-CUBEの管理者権限が外部の第三者に取得され、EC-CUBE上に登録されている個人情報が漏えいする可能性がある。 これらの脆弱性の影響を受けるシステムは、EC-CUBE Ver2 正式版 Version 2.1.2aおよびそれ以前、EC-CUBE Ver2 RC版 Version 2.3.0-rc1およびそれ以前となっている。なお、ロックオンではこれらの脆弱性を解消するための修正ファイルを配布している。
楽天メールマガジン情報漏洩の話・続き | 水無月ばけらのえび日記
更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (~中略~) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi... 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
はてなは個体識別番号等を取得する目的と背景を説明しては - 雑種路線でいこう
個人的にはポケットはてなへのログインが面倒なので、どうせIDを取っているなら設定で最初からログインできるようにしてもいい気もするが。何のためにGUIDを取っているか気になるところではある。モバイル広告を張るときの条件として指示されたとか、認定を取得するかは別としてEMAの基準に準拠しておこうと考えたとか。これまで取っていなかった情報を取るようになったのだから、新機能リリース等で利用者への説明があって然るべきだろう。 つまり、はてなのケータイサイトであるポケットはてなは、一切の告知なく、常に契約者固有IDをケータイから送信させるようになった、ということだ。これは、ポケットはてなへのログインとは何の関係もなく行われているし、コメント投稿などにも限定されていないので、「発信者情報開示請求のため」に限定されるものでもない。 はてなも、スーパーcookie的な固有ID利用によるサイト横断の行動ターゲ
ユーザのクリックを乗っ取る「クリックジャック」 | スラド
ZDNet(日本語訳)にて、多くのブラウザやAdobe Flashに存在するクリックジャック(Clickjacking)に対する脆弱性について報じられている(本家/.より)。この脆弱性はIE、Firefox、Safari、Operaなど多くブラウザやAdobe Flashに存在し、影響を受けないブラウザはLynxくらいだそうだ。 クリックジャックされると、ユーザのクリック全てがクリックジャックのクリックとなり、ユーザの意図や動作とは無関係にページ上のリンクやボタンをクリックしたことになってしまう。このため、Flashゲームなどは格好のターゲットとなり得る。攻撃はブラウザの根本的な欠陥を突いたもので、DHTMLを利用しているとのこと。また、JavaScriptは必須ではないため、JavaScriptを無効にしても完全には防げないそうだ。 クリックジャックはOWASP NYC AppSec 2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う
携帯ID開放の危うさ・事件が起きる前に対策を インターネット-最新ニュース:IT-PLUS
http://neta.ywcafe.net/000913.html