SQLを用いてデータベースを扱うWebアプリケーションは、SQL注入を許さないようにする必要がある。SQL注入攻撃対策のうち、まずは実装における対策について述べる。 文脈に応じた特殊記号対策はコマンド注入攻撃対策と同様である。加えて、プリペアードステートメントの使用や言語の選択による対策を説明する。 「SQL注入(SQL injection)」は、パラメータを埋め込んでSQL文を組み立てる場合、そのパラメータに特殊記号(記号)を含ませたSQLコマンドを与えることによって、データベースの不正操作が可能となってしまう問題である。 参考: CWE-89: Improper Neutralization of Special Elements used in an SQL Command(日本語訳) SQL注入攻撃のメカニズム ここに、次のようなSQL文を使用したログイン判定プログラムがあるとする
タグ
- すべて
- 2ch (13)
- 80's (3)
- AWS (1)
- DX (1)
- English (23)
- French (1)
- IPv6 (2)
- ISM (1)
- JDK (1)
- M&A (1)
- MITM (1)
- MySQL (1)
- SELinux (1)
- TLS (1)
- Treasure Data (2)
- WiMAX (1)
- algorithm (1)
- amachang (1)
- animal (3)
- anime (5)
- anova (1)
- apple (2)
- arabic (3)
- art (9)
- artist (4)
- author (1)
- ays (1)
- binary (1)
- blackhat (1)
- blockchain (1)
- book (5)
- browser (3)
- bsd (1)
- business (20)
- ceh (99)
- ceph (2)
- chinese (6)
- cinema (2)
- cio (1)
- cissp (2)
- clarix (1)
- column (2)
- comic (6)
- command (1)
- communication (9)
- community (1)
- company (2)
- compiler (1)
- computer (5)
- conference (1)
- cooking (3)
- cosutomize (1)
- cpu (3)
- crime (1)
- cryptography (3)
- csrf (2)
- cult (1)
- culture (4)
- data (3)
- debian (1)
- debug (3)
- design (4)
- dictionary (4)
- dns (3)
- docker (6)
- drawing (1)
- dtrace (2)
- economy (2)
- education (23)
- elf (1)
- emc (1)
- emulator (1)
- enumeration (1)
- env (1)
- ero (3)
- ethics (3)
- event (4)
- exam (1)
- extension (1)
- fashion (4)
- filesystem (2)
- finance (3)
- firefox (1)
- firewall (2)
- flash (1)
- font (3)
- food (3)
- footprinting (4)
- forensics (2)
- fpga (1)
- francais (4)
- friend (1)
- gadget (1)
- game (17)
- gigazine (2)
- gimp (1)
- google (5)
- gov (4)
- hacker (2)
- hadoop (4)
- hardware (2)
- hatena (4)
- hdd (1)
- health (3)
- history (11)
- hive (1)
- honeypod (1)
- http (1)
- ibm (1)
- idea (1)
- interview (6)
- iphone (1)
- it (8)
- iterm (2)
- iterm2 (4)
- japan (5)
- japanese (4)
- java (3)
- javascript (3)
- job (2)
- judo (1)
- jvm (1)
- kernel (10)
- kismet (1)
- knowledge (3)
- kobe (2)
- language (26)
- law (2)
- letter (1)
- life (8)
- lifehack (12)
- linux (15)
- literature (1)
- mac (4)
- macosx (2)
- mail (2)
- management (3)
- manga (4)
- map (4)
- math (4)
- mba (2)
- medical (1)
- mentor (2)
- microsoft (1)
- mobile (2)
- money (3)
- monitoring (1)
- movie (1)
- music (4)
- my work (2)
- nature (1)
- neta (24)
- netcat (1)
- network (17)
- news (10)
- nhk (1)
- niconico (2)
- nikkei (1)
- nintendo (1)
- novel (1)
- obama (2)
- obsolate (1)
- openssl (1)
- openstack (1)
- oracle (1)
- organization (2)
- os (8)
- otaku (5)
- pc (3)
- pcap (1)
- pentest (1)
- performance (5)
- perl (1)
- person (2)
- philosophy (4)
- phishing (1)
- photo (5)
- php (1)
- politics (5)
- portal (2)
- programming (18)
- proxy (3)
- psychology (2)
- pthread (1)
- puppet (2)
- python (3)
- radio (2)
- recruit (1)
- regx (1)
- religion (4)
- restaurant (1)
- retro (4)
- review (1)
- rfc (3)
- russia (12)
- sans (2)
- scanning (5)
- school (2)
- science (6)
- scrap (1)
- security (65)
- sega (1)
- seminar (1)
- shell (6)
- shop (2)
- skill (1)
- sns (1)
- society (8)
- software (2)
- solaris (15)
- sports (2)
- sql (3)
- ssl (2)
- statictics (2)
- statistics (1)
- steganography (1)
- storage (2)
- sun (6)
- suomi (1)
- tcp (1)
- techno (1)
- technology (2)
- tengen (1)
- testing (2)
- text (1)
- thread (1)
- tips (16)
- toeic (1)
- tool (12)
- toy (3)
- train (3)
- translation (2)
- travel (6)
- tripwire (1)
- tutorial (1)
- ubuntu (1)
- ug (2)
- unicode (1)
- university (1)
- unix (4)
- uri (3)
- usa (2)
- video (1)
- virtualization (2)
- w3c (1)
- wallpaper (2)
- waseda (1)
- watch (1)
- web (2)
- webservice (5)
- webtool (1)
- whois (1)
- windows (5)
- wireless (2)
- work (9)
- www (4)
- xen (1)
- xss (1)
- youtube (2)
- zfs (3)
- あとで読む (8)
- いいね! (1)
- これはすごい (9)
- これはひどい (2)
- はてなー加齢問題 (1)
- はまちちゃん (1)
- まどか☆マギカ (1)
- エロ (2)
- クックパッド (1)
- ケンチャナヨ (1)
- スティーブン・ピンカ (1)
- セキュリティ (1)
- ソフトバンク (1)
- ネタ (2)
- パフォーマンス (1)
- ブロックチェーン (1)
- ヤツの思うツボ (1)
- ヤンキージャンキー (1)
- レシピ (1)
- 低温調理 (1)
- 加藤諦三案件 (2)
- 同い年 (1)
- 名作選 (1)
- 国字国語 (1)
- 娘に近づいたら殺す (1)
- 岡田有花 (1)
- 文章術 (1)
- 料理 (1)
- 日本人 (2)
- 日本人劣化案件 (1)
- 決算 (1)
- 海外 (1)
- 痛いニュース(ノ∀`) (1)
- 確定申告 (1)
- 肉 (1)
- 英語 (1)
- 茂木健一郎 (1)
- 認知の歪み (1)
- 語学 (1)
- 食 (1)
- 高木浩光 (1)
- ceh (99)
- security (65)
- language (26)
- neta (24)
- English (23)
- education (23)
- business (20)
- programming (18)
- game (17)
- network (17)
sqlに関するbzb05445のブックマーク (3)
-
bzb05445 2008/11/21
- security
- sql
- ceh
リンク -
-
@IT:Webアプリケーションに潜むセキュリティホール(2)- Page1
顧客データがすべて盗まれる?!~OSやデータベースへの攻撃~:Webアプリケーションに潜むセキュリティホール(2)(1/2 ページ) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第1回 サーバのファイルが丸見え?!」では、「Forceful Browsing(強制的ブラウズ)」や「Path Traversal(パスの乗り越え)」によって、任意のファイルを読み出されてしまう危険性について紹介した。 今回は、Webアプリケーショ
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定を変更しましたx