2010年08月19日【注意喚起】eコマースサイトを標的とした クレジットカード情報や個人情報の窃取攻撃に関して株式会社ラック(本社:東京都千代田区、代表取締役社長: 齋藤理、以下ラック)は、電子商取引サイト(eコマースサイト: 以下、ECサイト)を標的としたクレジットカード情報や個人情報を窃取す... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ユニー(愛知県稲沢市)など8社のネットスーパーの顧客情報が大量に盗まれた事件で、運営を請け負うネオビート(大阪市)のウェブサイトに対し、外部から不正な指令を送ってデータベースを操作する「SQLインジェクション」と呼ばれるハッキング行為があったことが、同社などの調査で13日分かった。ネオビート側は、... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
10/06/17/0615259storyIISを狙った大規模なSQLインジェクション攻撃発生中hylomによる2010年06月17日 15時20分の掲載あるAnonymous Coward 曰く、やや旧聞となるが、IISを狙った大規模なSQLインジェクション攻撃が発生しているとのこと。すでに数万... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
SQLインジェクションの進化形として、ブラインドSQLインジェクションという手法があります。通常のSQLインジェクションは、検索結果表示やエラー表示のところに、アプリケーションの想定とは別のテーブル・列の値を表示するものですが、ブラインドSQLインジェクションは、SQLの結果がエラーになる・ならな... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
本研究所では、日本と海外のIT技術およびその利用方法を比較し、両者の間にある格差について考えている。今回のテーマはセキュリティ、なかでもSQLインジェクションに注目してみたい。セキュリティに絶対はないという意識が日本には低すぎると思うからだ。個人がPCを利用する際に考慮すべきセキュリティ対策に関し... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
だいぶ間があいてしまいましたが、本年1月31日に開催された、第04回まっちゃ445勉強会目覚まし勉強会におけるライトニングトークの資料を公開します。UnicodeによるXSSとSQLインジェクションの可能性View more presentations from ockeghem. [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2009/9/15 ■川口、全国を飛び回ってます。皆さんこんにちは、川口です。先日、私は島根に出張をしていました。せっかく島根という地に行くのですから各地の方と交流したいと思い、山陰ITPro勉強会(通称... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ニュースphpMyAdminのエクスプロイトが出現、パッチ適用の確認をphpMyAdminの既知の脆弱性を突いたエクスプロイトが出回っている。2009年06月25日 09時16分 更新SANS Internet Storm Centerは6月24日、データベースのMySQLをWebブラウザで管理す... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
『 セキュリティテストツールのリストのサイト 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
第4回 “セキュアなWebアプリ”に立ちはだかる課題
三輪 信雄
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
2009/3/3
SQLインジェクションによる情報漏えい事件がクローズアップされています。対策は簡単なこと……と言われ続けているのですが、なぜWebアプリケー... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
前回のエントリSQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem(徳丸浩)の日記に対応して、mi1kmanさんのブクマ経由で、訂正が出ていることを知った。訂正内容1ページ目を下記のように変更いたしました(2個所)。バインド値はエスケープ処理した後にプレースホルダに... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
以前このブログでも取り上げたことのある神戸デジタル・ラボの近藤伸明氏がThink IT上で「SQLインジェクション大全」という連載を執筆しておられる。その第三回「SQLインジェクションの対策」を読んで以下の部分が引っかかった。バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所(プ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
「2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化について」http://www.lac.co.jp/info/alert/alert20090114.htmlによると、SQLインジェクションで埋め込まれる script タグが暗号化された攻撃が登場した様です。早速、暗号の解... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
2008年10月 2日
報道関係およびお客様各位
株式会社ラック
【緊急注意喚起】 新手のSQLインジェクションを行使するボットの確認
セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
ところが、同じチェックシートの『チェック3「内部データをのぞき見されているかもしれない」チェック』は、益は少しあるかもしれないが、それ以上に予期しないトラブル、具体的にはデータベースの破壊を招きかねないという点で、けっして「かんたん」というものではない。(~中略~)SQLインジェクションの検査は、... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
『 SQLインジェクションについてのまとめ。MySQL,SQLServer,PostgreSQLなどなど、いろんなSQLに対応。 』 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
IPA/ISEC、サイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップ独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC)は11月11日、ウェブサイトのSQLインジェクション検出ツール「iLogScanner」をバージョンアップした。このツールはブ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
要するにもともとSQLインジェクション脆弱性のあるシステムをIDSで守るだけで放置していたら、 IDSをすり抜けられてインジェクションを喰らったということか。 先に脆弱性を直せよ。モノの品質に問題あるんじゃないのそれPHPだと$_REQUESTが諸悪の根源だってことなのかな。 PHPerにとっては... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
9月30日、筆者が所属している会社の「セキュリティ監視センター(JSOC)」に衝撃が走った。早朝からJSOCで監視している4種類のセンサーのうちマイナーな2種類の侵入検知システムで、最近よく見かける「SQLインジェクション」のアラートが上がっていた。誤検出はよくあることだが、念のためJSOCのアナ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
