無料で使えるSQLインジェクション対策スキャナ トップ15(ホームページを作る人のネタ帳)フリーの SQLインジェクション スキャナー トップ15(うさぎ文学日記) なにやら、SQLインジェクションをスキャンしてくれるツールがあるようです。 SQLIer Sqlbftools SQL Injection Brute-forcer (.tar.gz) SQLBrute (.py) BobCat sqlmap: a blind SQL injection tool Absinthe :: Automated Blind SQL Injection SQL Injection Pentesting Too...
http://d.hatena.ne.jp/hoshikuzu/20060211#P20060211PHPSQLINJECTION セキュリティmemoにaddslashesよるエスケープ処理でSQLインジェクションが可能なるという記事を見つけました。 私のセミナーを聞いたことがある方は「addslashesによるエスケープ処理は止めましょう」と言っていた事を覚えているでしょうか? mysql_real_escape_string()やpg_escape_string()等のデータベース専用のエスケープ関数を使いましょう、...
『 SQLPowerInjectorisanapplicationcreatedin.Net1.1thathelpsthepenetrationtestertoinjectSQLcommandsonawebpage. 』
『 SQLInjection 』
『 Top15freeSQLInjectionScanners-Security-Hacks.com 』
こんにちは satoです WEBサービスは作るよりも運用の方がコストがかかるとも言われています。 運用を極力自動化して、コストを減らしたいものです。 ここではウノウで使っているツール類を紹介したいと思います。 1) 疎通、生存監視 webの生存監視などは nagiosを使って監視しています。 nagiosには - いつ(土日を除く、10時~22時までの間で など) - どのタイミングで(N回連続で ,復...
こんにちは! やまもと@テスト番長です。 先日マサトさんに教えてもらったのですが、 こんなウェブアプリケーション用のチェックシートがあるそうです。 SECGURU: Web Application Testing cheatsheet なかなか面白いので、軽く日本語にしてみました。(Special thanks to: ジュンヤさん) ※間違ってたらごめんなさい。 1. アプリケーション名とバージョン 2. コンポーネント名 3. 通信プロト...
『 PHPのソースコードをチェックして脆弱性を検出するウェブサービス。単純なデータフロー解析しか指定無い様子ですが、単純なミスを防ぐことには使えるようです。 』
Chorizo! Secure your webapplications on the fly!Webアプリケーションセ...
mMeasureは、MySQLの状態を常時測定し、MySQLのチューニングポイントをアドバイスする、MySQL専用モニタリングソフトです。MySQLの主要なサーバー変数やステータスは、時/日/週/月/年の単位でビジュアルにグラフ化され、ブラウザで参照することができます。「クエリーキャッシュ使用率」や「接続数」といった測定値が、あらかじめ設定されたしきい値を超えた場合、MySQLをチ...
Webアプリケーションの脆弱性のほとんどは、開発時のささいなミスから生じる。Webアプリケーションの攻撃から保護するには、専門家によるペネトレーションテストが有効だ。 最近、Webアプリケーションに存在するセキュリティホールが注目を浴びている。Webサーバのセキュリティ対策というと、一般にファイアウォール、IDS(不正侵入検知システム)、ウイルス対策などがよく...
Oracle、IBM DB2、Microsoft SQL Server、Sybaseに対応したデータベース脆弱性スキャナ「Scuba by Imperva」が無料でダウンロードして利用できるようになりました。パッチが適用されているかどうか、危険なプロセスおよび弱いパスワードはないかどうかなど、何百もの欠点を見つけてくれるとのこと。日本語のマニュアルも付いてきます。 Windows 98/NT/2000/XP、Sun Java JRE ver.5.0以上で動作します。 ...
いったい何人の人がSQLインジェクションに対して興味があるのかが気になるところですが、今回はSQLインジェクションに対する対策スキャナのご紹介です。 Top 15 free SQL Injection Scanners SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃...
今までは専門的なスキルが必要だったWebサーバのアクセスログ解析が、iLogScannerを使えば誰でも簡単に行うことができ、危険な攻撃と思われる痕跡を確認することが出来ます。 iLogScannerは、ブラウザ上で実行するJavaアプレット形式のツールとなっているので、ホームページを見ることができる環境ならば、どこでも簡単に使用することができます。 現在は、次の攻撃と思わ...
情報処理推進機構(IPA)は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。 最近、Webサイトを狙った攻撃(特に、SQLインジェクション攻撃)が相次いでいる。攻撃の結果、ウイルス...
WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、WebサイトのSQLインジェクションの脆弱性を検出する無償ツール「iLogScanner」を公開した。 [TechTargetジャパン] 情報処理推進機構(IPA)は4月18日、WebサイトのSQLインジェクションの脆弱性を検出する無償のツール「iLogScanner」を公開した。 iLogScannerは、ユーザーが用意したWebサーバのアクセスログの中から...
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、ウェブサイトの脆弱性対策を促進するため、ウェブサーバのアクセスログの中からウェブサイトへの攻撃を解析し、ウェブサイトのSQLインジェクションの脆弱性を検出するツールを2008年4月18日(金)より公開しました。 (URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ ) 概要 近年、ウェブサイトを狙ったSQLインジ...
情報処理推進機構(IPA)は18日、WebサーバーのアクセスログからSQLインジェクション攻撃を検出するツール「iLogScanner」を公開した。IPAのサイトから無料でダウンロードできる。対応OSはWindows XP/2000で、実行にはJava Runtime Environment 5.0以上が必要。 iLogScannerは、Webサーバーのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出するツール。攻撃の総件...
del.icio.us/tag/del.icio.usを眺めていたらFlickrのときみたいに面白い資料を見つけたの紹介します。 Things to look out for when building a large application.というタイトルでサーバーサイドの管理等の話が中心かと思って読んでいたらそれ以外のインターフェース、実装すべき機能、spam対策、アプリケーションを如何に広めるかといった話にも触れていて面白いです。 以下にまとめてみました。 ス...
PostgresForestは,複数台のPostgreSQLサーバーを仮想的に1つに統合し,並列分散動作させるソフトウエアである。同ソフトを導入することで,PostgreSQLで構築したデータベース・サーバーの可用性や拡張性を向上できる。 この数年間でLinuxを中心としたオープンソース・ソフトウエア(OSS)は,目覚しい発展を遂げている。特に,Webサーバーに「Apache HTTP Server」,アプリケーション・サ...
