Deep SecurityでSQLインジェクションをブロックしてみた | DevelopersIO
はじめに Trend Micro Deep Securityの侵入防御機能を使って、SQLインジェクションをブロックしてみました。 検証には以前作成した脆弱性をもつサイトを使いました。 ユーザーIDとパスワードを入力すると、そのユーザーのメールアドレスを表示するWebサイトです。 Webサイトの動作を紹介します。 正しい動きの例 ユーザIDとパスワードを指定の上、送信ボタンを選択すると、指定したユーザのメールアドレスが表示されます。 SQLインジェクションの例 パスワード欄に'OR 'A' = 'Aを指定すると、全てのユーザのメールアドレスが表示されます。 ユーザ情報が漏れてしまった状況を再現しています。 この動作をDeep Securityでブロックしてみました。 侵入防御ルールを追加 EC2にDeep Security Agentをインストールします。 手順はこちらをご覧ください。 S
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
