タグ

関連タグで絞り込む (25)

タグの絞り込みを解除

computerとSQLinjectionに関するtsupoのブックマーク (5)

  • MOONGIFT: » SQLインジェクションを防ぐプロキシ「GreenSQL」:オープンソースを毎日紹介

    ※ 画像は公式サイトデモより。 DBを使ったWebアプリケーションが当たり前になり、その重要性は増す一方だ。万一、データが消失するような事態になったら、ビジネスに与える影響は計り知れない。 SQLインジェクションはDBに対する攻撃の一つだ。システムにバグがなければ良いが、それは起こってみてからしか分からない。予防措置をしいておこう。 今回紹介するオープンソース・ソフトウェアはGreenSQLSQLインジェクションを防ぐDB用ファイアウォールだ。 GreenSQLDBとWebサーバとのプロキシとして動作する。そして、その間で行われるSQL文を監視し、問題があるSQLを予め弾いてくれる。 対応しているDBMySQLのみになる。ただ防ぐだけではなく、危ないものに対してはウォーニングログを残しておいてくれる。ログをチェックする事で、Webアプリケーションの強化も実施できる。 セキュリティ対策

    MOONGIFT: » SQLインジェクションを防ぐプロキシ「GreenSQL」:オープンソースを毎日紹介
    tsupo
    tsupo 2007/10/05
    GreenSQLはDBとWebサーバとのプロキシとして動作 / その間で行われるSQL文を監視し、問題があるSQLを予め弾いてくれる / 対応しているDBはMySQLのみ
    リンク

  • 第6回 意外に知られていないブラインドSQLインジェクション | gihyo.jp

    前回の記事でSQLインジェクションの話は終わりにして、クロスサイトスクリプティングの話を書かせて頂こうと思っていました。しかし、6月5日に東京にて開催されたPostgreSQLカンファレンス2007でセキュリティをテーマに講演させて頂き、意外にブラインドSQLインジェクションをご存じでない方が沢山いらっしゃいました。40名ほどの聴講者の皆様にSQLインジェクションをご存じの方?とお聞きするとほぼ全ての方が知っていると答えたのですが、ブラインドSQLインジェクションをご存じの方は数名でした。 SQLインジェクションの常識 ブラインドSQLインジェクションの話をする前に、SQLインジェクションとその対策の常識について確認します。 SQLインジェクション対策として間違ってはいないが不十分な対策 エラーメッセージを表示しない(特にSQLエラー) ユーザ入力文字列をエスケープする これらはSQLイン

    第6回 意外に知られていないブラインドSQLインジェクション | gihyo.jp
    tsupo
    tsupo 2007/06/11
    SQLインジェクション対策は非常に簡単ですが,作ってしまうと非常に危険な脆弱性である → この文章が変。「SQLインジェクション対策」を行なうことで「非常に危険な脆弱性」が発生する、ように読める。
    リンク

  • Microsoft Corporation

    このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。

    Microsoft Corporation
    tsupo
    tsupo 2007/04/18
    実機を用意することなく、IIS の実証環境を構築、チェックできる / 「Windows PowerShell のバーチャル ラボ」もある
    リンク

  • Google Code Search のアレな活用法が続々と | 秋元@サイボウズラボ・プログラマー・ブログ

    Googleの一般検索でも、社外秘情報の入ったExcelを検索したらいろいろ出てきた(参考 、 公開Webサーバから機密情報を引き出す「Googleハッキング」の脅威と、その対策)といった話もあるし、つい最近はGoogle Calendarで明らかに公開情報じゃないいろんな人の予定が検索できるという指摘も話題になった。 ということで、昨日リリースされたGoogleコード検索でも、さっそく色々な「ヤバイ」指摘が。 kottke.org では以下のような検索例が 圧縮アプリケーションの暗号生成部分のソース パスワードを埋め込んだブログシステムのソース バッファーオーバーフロー脆弱性がありそうなソース 公開されるべきでない、と書いてあるソース 愚痴ったり、罵ったり、馬鹿にしたりというコメント 有名プログラマーの名前での検索 また、PHPセキュリティといえばこの人の Chris Shiflett

    tsupo
    tsupo 2006/10/06
    『さっそく色々な「ヤバイ」指摘』
    リンク

  • [MySQLウォッチ]第27回 MySQL 5.0 および 4.1 にSQLインジェクションのセキュリティ・ホール

    先日,MySQL 5.0 および 4.1 に関してSQLインジェクションの危険性に対応するためにバージョンアップが行われた。 SQLインジェクションとは,入力されたデータにより意図せざるSQL文が実行されてしまうという攻撃である。データベースのデータを書き換えられたり,データが読み出されることにより情報が漏洩したりする恐れがある。セキュリティ・ホールというとWebサーバーやWebアプリケーション言語の専売特許だという印象があるが,データベースにも存在する。十分な注意が必要である。 以下,SQLインジェクションの原理と,MySQLに存在した問題の詳細とその対応について解説する。問題の発見から修正にいたるやりとりはWeb上で公開されており,誰がいつ問題を指摘し修正したのかもたどることができる。 mysqli_real_escape_string()関数によるSQLインジェクションの防止 プログ

    [MySQLウォッチ]第27回 MySQL 5.0 および 4.1 にSQLインジェクションのセキュリティ・ホール
    tsupo
    tsupo 2006/06/22
    MySQL の SQLインジェクション脆弱性(すでに修正済み)の解説 / mysqli_real_escape_string() / 入力された値を直接使用してSQL文を作成することは非常に危険 / 今回の対処が必要なのはMySQL 4.1 以降
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.