United StatesMicrosoft has a fix for preventing the next CrowdStrike fiasco, but is it a good one?Maybe giving security firms access to the Windows isn’t the best idea, but freezing them out could be worse.
IPAã€è¨€èªžã¨DB別ã«SQLインジェクション攻撃ã«å¯¾ã™ã‚‹é˜²å¾¡ç–を公開 | エンタープライズ | マイコミジャーナル
IPA(ç‹¬ç«‹è¡Œæ”¿æ³•äººæƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹)ã¯3月18æ—¥ã€SQLインジェクション攻撃ã‹ã‚‰Webサイトを防御ã™ã‚‹ãŸã‚ã®å¯¾ç–ã¨ã—ã¦ã€Webアプリケーションã®å®‰å…¨ãªå®Ÿè£…方法を解説ã—ãŸè³‡æ–™ã€Œå®‰å…¨ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€ã‚’公開ã—ãŸã€‚ IPAã¯ã€ç„¡å„Ÿã§å…¬é–‹ã—ã¦ã„ã‚‹SQLインジェクション検出ツール「iLogScannerã€ã§è„†å¼±æ€§å¯¾ç–æƒ…å ±ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã€ŒJVN iPediaã€ã®ã‚¢ã‚¯ã‚»ã‚¹ãƒã‚°ã‚’解æžã—ã¦ã„る。ãã®çµæžœã€Webサイトを狙ã£ãŸã¨æ€ã‚れる攻撃ã®ã†ã¡ã€SQLインジェクション攻撃ãŒå…¨ä½“ã®45%ã€Webサーãƒã®ãƒ‘スワードファイルや環境è¨å®šãƒ•ã‚¡ã‚¤ãƒ«ã®æƒ…å ±ã‚’ç‹™ã£ãŸãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒ»ãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«æ”»æ’ƒãŒ38%ã‚’å ã‚ã¦ã„ã‚‹ã“ã¨ãŒã‚ã‹ã£ãŸã€‚ SQLインジェクション検出ツール「iLogScannerã€ã«ã‚ˆã‚‹è„†å¼±æ€§å¯¾ç–æƒ…å ±ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã€ŒJVN iPediaã€ã®è§£æžçµæžœã€€è³‡æ–™:IPA SQLインジェクション攻撃ãŒæˆåŠŸã—ãŸå ´åˆã€Webサ
HASHコンサルティング徳丸浩ã®æ—¥è¨˜ - 自分ã§ã§ãã‚‹ - 「ã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ã€DNSリãƒã‚¤ãƒ³ãƒ‡ã‚£ãƒ³ã‚°è€æ€§ã®ãƒã‚§ãƒƒã‚¯æ–¹æ³•
■「ã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ã€DNSリãƒã‚¤ãƒ³ãƒ‡ã‚£ãƒ³ã‚°è€æ€§ã®ãƒã‚§ãƒƒã‚¯æ–¹æ³• ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯ã€ã‚±ãƒ¼ã‚¿ã‚¤å‘ã‘WebサイトãŒDNSリãƒã‚¤ãƒ³ãƒ‡ã‚£ãƒ³ã‚°æ”»æ’ƒã«å¯¾ã™ã‚‹é˜²å¾¡è€æ€§ãŒã‚ã‚‹ã‹ã©ã†ã‹ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹æ–¹æ³•ã‚’説明ã—ã¾ã™ã€‚ケータイå‘ã‘ã«ã€Œã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ã€æ©Ÿèƒ½ã‚’ã‚‚ã¤Webサイトをãƒã‚§ãƒƒã‚¯å¯¾è±¡ã¨ã—ã¾ã™ã€‚ 基本的ãªå‰æã¨ã—ã¦ã€æ¤œæŸ»å¯¾è±¡ã®Webサイトã®ç®¡ç†è€…ãŒè‡ªã‚‰æ¤œæŸ»ã™ã‚‹ã“ã¨ã‚’想定ã—ã¦ã„ã¾ã™ã€‚ 用æ„ã™ã‚‹ã‚‚ã® ãƒã‚§ãƒƒã‚¯å¯¾è±¡ã®Webアプリケーション(ã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³æ©Ÿèƒ½ã‚ã‚Š) æºå¸¯é›»è©±ï¼ˆã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³å¯èƒ½ãªã‚‚ã®ï¼‰ インターãƒãƒƒãƒˆæŽ¥ç¶šã•ã‚ŒãŸãƒ‘ソコン ステップ0:IPアドレスã®èª¿æŸ» 検査対象ã®Webサーãƒãƒ¼ã®IPアドレスを調ã¹ã¾ã™ã€‚一例ã¨ã—ã¦ã€æ¤œæŸ»å¯¾è±¡ã‚µãƒ¼ãƒãƒ¼ã®ãƒ›ã‚¹ãƒˆå㌠mobile.example.com ã®å ´åˆã€ä»¥ä¸‹ã®ã‚³ãƒžãƒ³ãƒ‰ã§IPアドレスを調ã¹ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ C:>nslookup mobile.example.
PostgreSQL 使用時ã®æ–‡å—列ã®ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—回é¿å•é¡Œ - t_komuraã®æ—¥è¨˜
2006.03.06 追記 ã“ã®å•é¡Œã«ã¤ã„ã¦ã¯ã€iakio日誌(2006-02-15)ã«ãŠã„ã¦ã€PHP スクリプトã§å›žé¿ã™ã‚‹æ–¹æ³•ã®ä¾‹ã¨ã€PostgreSQL ã« Patch を当ã¦ã¦å›žé¿ã™ã‚‹æ–¹æ³•ã‚’示ã—ã¦ãŠã‚‰ã‚Œã¾ã™ã€‚å•é¡Œã®å½±éŸ¿ã‚’å—ã‘ã‚‹å ´åˆã¯å‚考ã«ã™ã‚‹ã¨è‰¯ã„ã¨æ€ã„ã¾ã™ã€‚ 1月22æ—¥ã«æ›¸ã„ãŸã€addslashes() ã«ã‚ˆã‚‹ SQL æ–‡å—列ã®ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—回é¿å•é¡Œã®ç¶šãã§ã™ã€‚PostgreSQL ã§ã•ã‚‰ã«æ¤œè¨¼ã—ã¦ã¿ã¾ã—ãŸã€‚ çµè«–ã¨ã—ã¦ã¯ã€å‰å›žã¨åŒæ§˜ã§ã™ãŒã€PostgreSQL ã«é–¢ã—ã¦ã¯ã€SJIS ã¯ä½¿ç”¨ã—ãªã„æ–¹ãŒå®‰å…¨ã¨ã„ã†äº‹ã«ãªã‚Šã¾ã™ã€‚ クライアントã®æ–‡å—コードã¨ã—ã¦ã€SJIS を使用ã—ã¦ã„ã‚‹å ´åˆã€addslashes() ã«ã‚ˆã‚‹ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã¯æ—¢ã«æŒ‡æ‘˜ã•ã‚Œã¦ã„る通りã§ã™ãŒã€PostgreSQL 用ã®æ–‡å—列エスケープ関数ã§ã‚ã‚‹ã€pg_escape_string() を使用ã—ã¦ã„ã‚‹å ´åˆã§ã‚‚å•é¡ŒãŒã‚ã‚Šã¾ã™
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
安全ãªå®Ÿè£…方法を解説ã€IPAãŒã€Œå®‰å…¨ãªSQLã®å‘¼ã³å‡ºã—æ–¹ã€å…¬é–‹(INTERNET Watch) - goo ニュース
{{#tags}}- {{label}}
{{/tags}}