「どこでどういった問題が起こるのか分からない。まさかデータベースが壊れるということはないと思うが」――。国内大手ベンダーの幹部は不安そうに話す。この幹部が懸念するのは、Windows Vistaで採用された新文字セットの情報システムへの影響である。別の大手ベンダーのシステム構築部門も、「情報システムのクライアントとしてVistaを見た場合、最大の問題は日本語の...
は7月17日,日本を含む世界中でSQLインジェクションによるWebサイト改ざんが発生していると警告した。SQLインジェクションにより,正当なWebサイトに不正なiframeタグを埋め込む攻撃で,改ざんされたサイトにアクセスしたユーザーは,不正なサイトに誘導され,ウイルスになどに感染させられる危険がある。トレンドマイクロでは既に,全世界で最大21万,日本国内においても約1...
ステップ1の「何らかの手段でWebサーバーに侵入する」手段については複数の説がある。具体的には,正規サーバーのFTPのパスワードが流通しており,これを悪用したという説,PHPなどの既知のぜい弱性を利用しているという説が公表されている。 ●能動的攻撃と受動的型攻撃 ここで能動的攻撃と受動的攻撃という言葉が出てきた。これらの意味を説明しよう。 能動的攻撃...
SQLインジェクションとは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用して、Webサーバーと接続しているデータベースに不正なアクセスを試みる手口。攻撃が“成功”すれば、サーバー上でほとんどの操作が可能となる。例えば、データベースに保存された情報を盗んだり、Webページを改ざんしたりすることできる。 ここ数年、SQLインジェクション攻撃は大きな問題と...
LogParser.exe コマンド ライン ツールを使用する場合は、スクリプト センターから利用できる次のリソースが役に立ちます。•SQL クエリを実行すると、IIS ログ ファイル、URLScan ログ ファイル、イベント ログ、およびファイル システムからデータを抽出できます。ニーズに応じてこれらのクエリをカスタマイズしたり、独自のクエリを作成する際の例として使用することができま...
ギターやマイクなどの楽器・音響機器関連を販売するサウンドハウスは2008年4月7日、同社が運営するWeb通販サイトから会員の氏名や性別、ログインID、パスワードといった個人情報が最大9万7500件流出したことが調査の結果明らかになったと発表した。うち、クレジットカード情報を含むものは2万7743件に上るが、カードのパスワードの流出はなかった。中国からのSQLインジェク...
2008年3月に入ってから,SQLインジェクション攻撃によるWeb改ざんが相次いでいる。例えば,セキュリティ対策ベンダーのトレンドマイクロは3月12日,同社のウイルス情報ページが改ざんされ,午前11時30分に同ページを閉鎖したことを発表した。実際にウイルス情報ページが改ざんされたのは3月9日の午後9時頃。同社はぜい弱性対策を施した後,13日午前8時30分からページ公開を...
島根県は2008年2月14日,同県の公式サイトで採用しているCMS(コンテンツ管理システム)をオープンソース・ソフトウエア(OSS)として無償公開した。自治体が開発したCMSをOSSとして公開するのは国内初と見られる。島根県に在住する技術者まつもとゆきひろ氏が開発したRubyで構築されており,同氏が在籍するネットワーク応用通信研究所が島根県の委託を受けて開発した。視覚障...
最終回です。今回は,ある意味IT業界の禁忌に触れてみます。Web+DBシステムを発注したときの見積もり額の秘密です。システムが目指す最終的な目的は”利益を上げられる仕組みの構築”です。見積もり額は利益算定の一番わかりやすいコスト判断ですが,果たして構築費用はどういう計算で生まれているのでしょうか。
SQL文がRDBMS(リレーショナル・データベース管理システム)でどのように処理されるのか,興味を持ったことはありますか? この連載では,RDBMSがSQL文を受け取ってから結果を返すまでに実行していることを説明します。主にアプリケーション開発者を対象とし,SQL文を見よう見まねで書いている方を想定しています。連載ではSQL文の書き方自体は詳しく説明しませんが,連載...
