SQLインジェクション受けたらまず何をする?--ラック、対応手順レポート公開 | エンタープライズ | マイコミジャーナル
ラックは2月12日、Webシステムにおけるデータベースのセキュリティ対策をまとめたレポート「事故前提社会のデータベースセキュリティ〜データベースによるWebサイトセキュリティの実際〜」を公開した。 同レポートは、ラックの研究機関であるサイバーリスク総合研究所がまとめたもの。SQLインジェクションの検知・調査や、「情報漏えい緊急対応サービス」を通して得た情報を基に作成されている。 レポートでは、まず「昨年末には多い日で1日に120万件ものSQLインジェクション攻撃が発生している」と、Webサイトが被害に遭う危険性が高まっている現状を報告。そのうえで、事故が発生した際にはどのような対応をとるべきか、また素早い対応をとるためにはどのような情報を収集しておくべきか、といった内容が、Microsoft SQL Serverを使用している場合の運用手順も示しながら具体的に紹介されている。 レポートは、
pgcrypto
F.20.1.1. digest() digest(data text, type text) returns bytea digest(data bytea, type text) returns bytea 与えられたdataのバイナリハッシュを計算します。 typeは使用するアルゴリズムです。 標準アルゴリズムはmd5、sha1、sha224、sha256、sha384、sha512です。 pgcryptoがOpenSSL付きで構築された場合、表F-21で詳解する、より多くのアルゴリズムを利用することができます。 ダイジェストを16進数表記の文字列としたい場合は、結果に対してencode()を使用してください。 以下に例を示します。 CREATE OR REPLACE FUNCTION sha1(bytea) returns text AS $$ SELECT encode(dige
Oracle DB用の無償監査ソフト,システムエグゼが4月に提供開始
データベース・システムの設計・開発などを手がけるシステムエグゼは4月,Oracle Database用のデータベース監査ソフト「Audit Navi」を無償で提供開始する。アクアシステムズが開発し,システムエグゼが販売しているデータベース監査ソフト「Audit Master」の機能限定版にあたる。これまで,無償で利用できるデータベース監査ソフトはほとんどなかった。 データベース監査ソフトとは,データベースのどのオブジェクトに「いつ」「誰が」「どのような」操作をしたのかというアクセス履歴を記録・分析するソフト。不正アクセスを検出して被害を未然に防いだり,情報漏えいが生じたときに犯人を追跡したりするために利用できる。Oracle Databaseをはじめとするデータベース管理システムは標準で監査機能を搭載しているが,設定の難易度が高いこと,分析・警告などの機能がないことから,実際に利用するのは
[PostgreSQLウォッチ]第34回 ユーザー定義関数の脆弱性に異例の勧告,任意のコードを実行される恐れ
[PostgreSQLウォッチ]第34回 ユーザー定義関数の脆弱性に異例の勧告,任意のコードを実行される恐れ 2007年最初のPostgreSLQウォッチをお届けする。前回のPostgreSQLウォッチから2カ月近く経っているので,話題が溜っている。それらを今回はまとめてお伝えするが,その前に最新の話題から。 ユーザー定義関数の脆弱性に関する勧告 2007年2月14日,コアチームから,ユーザー定義関数のある種の利用法(SECURITY DEFINERに関する脆弱性についての勧告が出された。 http://archives.postgresql.org/pgsql-general/2007-02/msg00679.php このような勧告が出されるのは極めて異例のことなので,その内容を詳細に検討してみよう。 SECURITY DEFINERとは PostgreSQLのユーザー定義関数を作成時に
データベースに必要なセキュリティ対策を一望できるドキュメント,ラックが無償公開
セキュリティ・ベンダーのラックは10月20日,データベースに必要なセキュリティ対策をまとめたドキュメント「セキュアデータベースマトリックス」を公開した。データベースを安全に保つために一般的に必要とされる技術的または人的な対策を網羅的に示している点が特徴だ。これまでデータベース・セキュリティに関しては,暗号化や監査ログの取得といった特定の技術や方法論についての解説は数多くあったが,必要な対策を網羅的に示した資料は多くなかった。ドキュメントの作成を主導した研究開発本部データベースセキュリティ研究所所長の大野祐一氏は,「対策状況を確認するモノサシとして使ってほしい」と語る。 ドキュメントは,ソフト,ハード,ファシリティ(施設・設備),人といったデータベースの維持に必要な構成要素を縦軸に,構築フェーズと運用フェーズで考慮すべきポイントを横軸に取る。このマトリクスの中で,計192項目もの対策を整理し
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 SQLインジェクションに関する脆弱性の修正などを行ったPostgreSQL 8.1.4,8.0.8,7.4.13,7.3.15の各バージョンが,5月23日一斉にリリースされた(関連記事)。いずれも同じメジャーバージョン系列であれば,dump/restoreによるデータ移行なしでアップグレードできる(ただし,8.1,8.1.1から8.1.4への移行については注意が必要。詳細は付属のリリースノートを参照されたい)。 修正が提供されないPostgreSQL 7.2以前のバージョン 今回対策された脆弱性はPostgreSQL 7.2以前にも存在するが,開発者のポリシーにより,7.2以前はサポートの対象になっていない。いまだに7.2 以前のバージョンを使っているユーザーは,7.3以降にアップグレ
Oracle DB 10g R2のセキュリティは本当に向上したのか?
Oracle DB 10g R2のセキュリティは本当に向上したのか?:進化する!データベーステクノロジー(1/5 ページ) オラクルは、企業システムのミドルウェアプラットフォーム「Oracle Fusion Middleware」、ミドルウェア上で稼働する業務アプリケーション群「Oracle Applications」、そして運用管理基盤「Oracle Enterprise Manager」を統合したトータルな企業システム環境を提供しているが、Oracle Databaseは、それらのあらゆるアプリケーション、ミドルウェアのデータ基盤としての役割を果たしている。最新版の「Oracle Database 10g Release 2」では、可用性やパフォーマンス向上のためのグリッド機能、さらにはセキュリティや運用管理など、さまざまな機能強化が図られている。 国内で最も利用されている「Oracl
「セキュリティ対策はより積極的に」:ガートナーがオラクル製品ユーザーに警鐘
文:Munir Kotadia(Special to CNET News.com) 翻訳校正:尾本香里(編集部) 2006-01-25 14:55 市場調査会社Gartnerが企業のシステム管理者に対し、Oracleアプリケーションのセキュリティ対策に「より積極的に取り組むよう」警鐘を鳴らした。Oracleのサポート体制が不十分だというのがその理由である。 Oracleは米国時間17日に、四半期ごとの定例パッチをリリースしたばかりである。リリースされたフィックスは、データベース製品の脆弱性37件に対処したものも含め、合計103件だった。これらの脆弱性には、同社の危険度評価で最高レベルとされるものも含まれていた。最高レベルの危険度評価をもつ脆弱性を悪用するのは容易で、甚大な被害がもたらされる可能性がある。 GartnerのアナリストRich Mogullが23日に発表した警告によると「今回の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
