Cursor Injection - A New Method for Exploiting PL/SQL Injection and Potential Defences David Litchfield [davidl@ngssoftware.com] 24th February 2007 An NGSSoftware Insight Security Research (NISR) Publication ©2007 Next Generation Security Software Ltd http://www.ngssoftware.com Introduction On occasion Oracle in their alerts state that the ability to create a procedure or a function is required f
おひさしぶりです。(すっかり、ブログを書くのをなまけてました。) 今日たまたま、情報基盤強化税制 http://www.meti.go.jp/policy/it_policy/zeisei/kibankyouka_panfu.pdf を見て、ふと思ったこと。 情報基盤強化税制の概要 これ、システム投資額の70%×10%=7%が税額控除できる(単に損金参入できる、のではなく、法人税の額から直接差っぴける)ので、システム投資をたくさん行う会社にとっては結構インパクトがでかいのではないかと思います。 これは、セキュリティ製品の国際標準であるISO/IEC15408の認証を受けたOSやデータベース、ファイヤーウォール等が対象とのことで、例えば、オラクルさんは、「高度な情報セキュリティが確保されていないMicrosoft SQL Server」では、適用が受けられませんよ、とキャンペーンをやってらっ
図2●RDBMSは監査ログを取得する機能を備えるが・・・<BR>Oracle DBやSQL ServerなどのRDBMSは,監査ログを取得する機能を標準で備えている。これを使えば,OSログイン・ユーザー名やマシン名,SQL文などの情報を取得できる。ただし,RDBMSの標準機能で監査ログを取得すると,ディスク入出力が増えてDBサーバーの性能が落ちるといった問題が起こる可能性がある 図3●DBログ収集/監査ツールを選んだ担当者の声<BR>DB監査ログの収集/監査ツールは大きく3つに分類される。ユーザーはこれらの製品を,DBサーバーの性能に影響を与えない,DBサーバーの監査ログを自動収集した上でログを削除できる,などの理由で利用している 図4●Oracleのパッケージを使って,ユーザー(PC)の情報を取得<BR>APサーバーを使うシステムでは,どのユーザー(PC)のアクセスなのかをデータベースが
Product Information Introduction SQL Power Injector is an application created in .Net 1.1 that helps the penetration tester to find and exploit SQL injections on a web page. For now it is SQL Server, Oracle, MySQL, Sybase/Adaptive Server and DB2 compliant, but it is possible to use it with any existing DBMS when using the inline injection (Normal mode). Indeed, the normal mode is basically the SQL
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く