今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた
「安全なSQLの呼び出し方」というSQLのセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月
[SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ
SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。 単にプリペアドステートメントを使え 絶対に文字列結合でSQLを構築しようとしてはいけない IPAの「安全なSQLの呼び出し方」を読むこと なんでこんなことを書くかというと、同僚が献本されてた「プロになるためのWeb技術入門」なる本のSQLインジェクションの項で、SQLインジェクションの対策として以下のように書いてあったからです*1。 a) 値をバリデーションする b) プリペアドステートメントを使う ダメです。間違っています。単に間違っているだけでなく救いがたく間違っています。正しいSQLインジェクション対策はこう書くべきです。 単にプリペアドステートメントを使え 文字列結合でSQLを構築するな イケてない本を書く人はなんで値のバリデーションをプリペアドステートメントよりも先に書くんですか?値のバリデーション
![[SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ](https://cdn-ak-scissors.b.st-hatena.com/image/square/abd76f3bb0ec0750428a791cbfbf7959c317f97d/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127052840568%2F17680117127052842215%2F1555633900)
安全なSQLの呼び出し方
2010 年 3 月 「安全なウェブサイトの作り方」 別冊 安全な S Q L の 呼び出し方 本書は、以下の URL からダウンロードできます。 「安全な SQL の呼び出し方」 http://www.ipa.go.jp/security/vuln/websecurity.html 目次 目次.....................................................................................................................................................................................................2 はじめに.................................................
情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
シマンテックのウェブサイト、ブラインドSQLインジェクション攻撃の被害に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国時間11月23日、「unu123456」と名乗るルーマニア人研究者がブログで明らかにしたところによると、同氏はブラインドSQLインジェクション攻撃によってSymantecのサーバに侵入し、データベースからパスワードなどの顧客情報を盗み出すことに成功したという。ZDNet.co.ukによると、これについてSymantecも24日に被害を認め、「pcd.symantec.comにSQLインジェクションに対する脆弱性があることが分かった」と述べている。同社によれば、被害を受けたのは日本および韓国のNorton製品ユーザーのサポートに利用されるウェブサイトという。
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
ニュージーランドの著名なサイトのDNSレコードがハイジャックされる
2008年にComcast、Photobucket、ICANN/IANAなどの著名なサイトのドメインが乗っ取られたことを覚えているだろうか?現在でも似たような事件が起こっている。 米国時間4月21日、「The Peace Crew」として知られるウェブサイト改変団体は、ニュージーランドの著名なウェブサイトのDNSレコードのハイジャックに成功した。Zone-Hの主張によれば、これはニュージーランドのドメインレジストラDomainz.netでSQLインジェクションが行われたためで、訪問者は有名なBill Gates氏がパイをぶつけられた写真と戦争反対のメッセージを掲載したページにリダイレクトされた。 この大量ウェブサイト改変により、WindowsLive.co.nz、MSN.co.nz、Microsoft.co.nz、Hotmail.co.nzを含む、ニュージーランドの主要なMicrosoft
SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog
前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 本記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に
– このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネット(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2024年5月時点の調査。
急増したSQLインジェクション、McColo遮断の影響は
急増したSQLインジェクション、McColo遮断の影響は:川口洋のセキュリティ・プライベート・アイズ(12) 皆さんこんにちは、川口です。昨年末に実家へ帰省した際、中学時代の同級生と16年ぶりに同窓会を開きました。久しぶりに生存確認ができた友人、見た目も中身も変わっていない友人、見違えるように変化している友人など、それぞれ違った時間を過ごしていたことが分かりました。懐かしい話に花を咲かせる時間はあっという間に過ぎてしまいました。昨年末は16年ぶりの同級生の変化を楽しんでいましたが、インシデントの変化は楽しい変化ばかりではありません。今回は2008年11月、12月と大きく変化した傾向について解説します。 ネット界の悪の枢軸? McColoとインターネットの関係 まず、McColoの遮断の影響とSQLインジェクションの関係性について説明します。 McColoとは、スパム送信を容認していたホステ
IPA/ISEC、サイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップ
独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は11月11日、ウェブサイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップした。このツールはブラウザ上で実行するJavaアプレット形式で、ブラウザ経由で利用できる。 今回のバージョンアップは、ウェブサイトを狙ったSQLインジェクション攻撃が急増し、ウェブサイトの情報の改ざんや、非公開情報が公開されるなど深刻な被害が発生していることから実施した。 新バージョンでは、SQLインジェクション攻撃として検出可能な攻撃パターンを従来の1.5倍に増やしたほか、脆弱性を狙った攻撃として検出可能なパターンに「OSコマンド・インジェクション」「ディレクトリトラバーサル」「クロスサイト・スクリプティング」「その他(IDS回避を目的とした攻撃)」の4種類を追加した。 また、検出対象のアクセスログとして、Apac
新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起
ラックは10月2日,新手のSQLインジェクション攻撃を仕掛けるボットを確認したとして,Webサイトの管理者などに向けて注意喚起した(ラックの緊急注意喚起レポート)。同社では9月30日にボットを検知した。攻撃対象として確認されているのは,Microsoft Internet Information Server/Services(IIS)上のASP(Active Server Pages)/ASP.NETを使ったWebアプリケーション。今までとは異なる手口を使うため,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)といった防御システムをすり抜けてしまう。既に,ページを改ざんされ,悪質サイトへのリンクを埋め込まれたWebサイトも確認済みだという。 SQLインジェクションは,Webアプリケーションに不正な入力値を送ってSQLクエリーを実行させ,Webペ
【CSL】CSL緊急注意喚起レポート〜新手のSQLインジェクションを行使するボットの確認〜 | LAC
セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。 本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。 本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利
ECサイト構築システム「EC-CUBE」に脆弱性、SQLインジェクション攻撃に注意
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は10月1日、ロックオンが提供するオープンソースのECサイト構築システム「EC-CUBE」に複数の脆弱性が確認されたと発表した。 特に、EC-CUBEによって構築されたECサイトが外部からSQLインジェクション攻撃を受けた場合、EC-CUBEの管理者権限が外部の第三者に取得され、EC-CUBE上に登録されている個人情報が漏えいする可能性がある。 これらの脆弱性の影響を受けるシステムは、EC-CUBE Ver2 正式版 Version 2.1.2aおよびそれ以前、EC-CUBE Ver2 RC版 Version 2.3.0-rc1およびそれ以前となっている。なお、ロックオンではこれらの脆弱性を解消するための修正ファイルを配布している。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪
テクノロジー : 日経電子版
http://japan.internet.com/webtech/20090213/6.html
http://japan.internet.com/busnews/20090203/11.html
http://japan.internet.com/webtech/20081003/9.html