高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
隠されていたSQLインジェクション ― @IT
星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん 「ってことで、今回は50点ってとこかな」 星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君 「(ほかにも脆弱性あるっていってもなぁ……)」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報(Unnecessary Information)の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ
誰でもWeb管理画面に入れる気前のいい会社
転職してから2年、晴れて念願の「Web担当」チームに配属になった星野君。着任早々、右も左も分からぬまま3日間でWeb申し込みフォームを作る(第1回)ことに。ところができ上がった申し込みフォームは、あやうくスパムメールの踏み台に……。 まこと先輩の助言によって事なきを得た星野君。さてさて、次なる仕事は? 週が明けて月曜日。セミナー申し込みフォームの制作を一通り終えた星野君は、さっそく次の仕事に取り掛かることにした。スケジュール表によると、次の仕事は「Web管理ツールの整備」となっている。 Web管理ツールとは、Webの更新などに使用しているWebアプリケーションのことらしい。これを使いやすいように整備してほしいというリクエストのようだ。期限まで3日間しかなかった初仕事とは異なり、今回は意外と長い期間が設けてある。 先週はセミナー申し込みフォームの制作で手いっぱいだったので、これまで全体スケジ
「企業の一番大切なもの」は守れているか?
米GuardiumのCTO、ロン・ベンナタン氏は、ネットワークセキュリティ同様、データそのもののセキュリティ対策にも投資が必要だと言う。 データベースセキュリティ/監査システムを開発している米GuardiumのCTO、ロン・ベンナタン氏が来日。ネットワークやWebアプリケーションにとどまらず、データベースそのものについてもセキュリティ対策が必要だと述べた。 「データベースこそ最も重要な資産だ。センシティブな情報、個人情報、会計情報……これらすべてがデータベースに格納されている」(ベンナタン氏)。 しかも、セキュリティ業界でたびたび指摘されているとおり、攻撃者の目的は「単なるゲームから、情報を盗み出し、それを金銭に換えることへと変化した」(ベンナタン氏)。そのターゲットとなる情報はデータベースに格納されている。この結果、データベースを狙う攻撃はより高度化した。 その上、そもそもデータベースと
「もはや業務部門と運用部門の垣根は無い」,米Impervaが説くDBセキュリティ監査のあり方
米Impervaワールドワイド・セールス担当VP(Vice President)のJames W.Drill氏(写真中央),アジア太平洋地域技術ディレクタのErez Schwarz氏(写真右),アジア太平洋地域セールス担当VP(Vice President)のMichael Lyu氏(写真左) 業務アプリケーションのデータを不正アクセスから守るためのセキュリティ機器「SecureSphere」を開発する米Imperva。ITproは2006年7月21日,東京エレクトロンが開催したユーザー企業向けセミナーに合わせて来日した米Impervaワールドワイド・セールス担当VP(Vice President)のJames W.Drill氏およびアジア太平洋地域技術ディレクタのErez Schwarz氏に,業務アプリケーションのデータ保護の動向を聞いた。 SecureSphereは業務サーバーの手前に
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
PostgreSQLがSQLインジェクションの脆弱性を修正 | OSDN Magazine
PostgreSQLプロジェクトは、PostgreSQL 8.1、8.0、7.4、7.3の最新バージョンを本日リリースした。この最新バージョンでは、SQLインジェクション(SQL injection)の脆弱性が修正されている。 この脆弱性は、今年3月に石田朗雄、大垣靖男、石井達夫の3名によって発見された。石田と大垣は日本PostgreSQLユーザグループの会員であり、石井はSRA-OSS日本支社に勤務している。この3名は、情報処理推進機構(IPA)セキュリティセンタのためにPostgreSQLほかのオープンソースソフトウェアを調査していた。 彼らは、PostgreSQLはSQLインジェクションに対して脆弱であり、PostgreSQLを実行している何らかのアプリケーションを通じてSQLインジェクション攻撃を受ける可能性があることを発見した。PostgreSQLのコア開発者であるJosh Be
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 SQLインジェクションに関する脆弱性の修正などを行ったPostgreSQL 8.1.4,8.0.8,7.4.13,7.3.15の各バージョンが,5月23日一斉にリリースされた(関連記事)。いずれも同じメジャーバージョン系列であれば,dump/restoreによるデータ移行なしでアップグレードできる(ただし,8.1,8.1.1から8.1.4への移行については注意が必要。詳細は付属のリリースノートを参照されたい)。 修正が提供されないPostgreSQL 7.2以前のバージョン 今回対策された脆弱性はPostgreSQL 7.2以前にも存在するが,開発者のポリシーにより,7.2以前はサポートの対象になっていない。いまだに7.2 以前のバージョンを使っているユーザーは,7.3以降にアップグレ
「PostgreSQL」にセキュリティ・ホール,SQLインジェクション攻撃を許す
PostgreSQL Global Development Groupは5月22日,オープンソースのデータベース管理システム(DBMS)「PostgreSQL 7.x/8.x」にセキュリティ・ホールが見つかったことを明らかにされた。不正なSQL文を送り込まれる「SQLインジェクション」攻撃を許して,データベース内の情報を操作される恐れなどがある。対策は,同日リリースされたバージョン 8.1.4/8.0.8/7.4.13/7.3.15にアップグレードすること。 今回見つかったセキュリティ・ホールは2種類。いずれもSQLインジェクション攻撃を許す恐れがあるもの。1つは,入力情報のチェックに関するセキュリティ・ホール。不適切にエンコードされた多バイト文字を含むパラメータを適切に処理できない場合があるという。このため攻撃者は,入力情報のチェック機構を回避して,不正なSQL文を送り込める可能性がある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SQL Power Injector Download