SQL injectionのテストツールであるsqlmapを使ってみる。 環境 Ubuntu 14.04.3 LTS 64bit版、Docker 1.9.1 $ uname -a Linux vm-ubuntu64 3.19.0-25-generic #26~14.04.1-Ubuntu SMP Fri Jul 24 21:16:20 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux $ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 14.04.3 LTS Release: 14.04 Codename: trusty $ sudo docker version Client: Version: 1.9.1 API version:
気がつけば3年ぶりの日記更新となりました。 相変わらずWeb/スマホ等のセキュリティは続けてます。 そろそろバイナリもやろうかとも思い、IDA Proを購入してみました。 購入に際してはKinugawaさんの記事を参考にさせてもらいました。 ところで、最後に自作検査ツールについて書いてから6年ほど経ちました。 その間に細々とですがシグネチャの追加や変更を行ってきました。 またこのGW前後にも変更を加えましたので、それについて書こうと思います。 まずはSQL Injectionのシグネチャを取り上げます。 6年前の関連するエントリはこちらです。 2009-05-31 T.Teradaの日記 | 自作検査ツール - SQLインジェクション編 6年間に行われた変更の目的は、正確性と安全性の向上です。 正確性の向上は、False Positive/False Negativeの両方を減らすことを目
Use our SQL Injection Cheat Sheet to learn about the different variants of the SQL injection vulnerability. In this cheat sheet you can find detailed technical information about SQL injection attacks against MySQL, Microsoft SQL Server, Oracle and PostgreSQL SQL servers. What is an SQL injection cheat sheet? An SQL injection cheat sheet is a resource where you can find detailed technical informati
第1回 攻撃検知コンテスト 【開催日時】 平成25年10月26日(土)13時~16時30分 【会 場】 静岡県総合社会福祉会館 シズウエル 会議室602 【参 加 費】 無料 【持 ち 物】 エクセルが動くPC 【協 力】 SECCON実行委員会 主 催:静岡 IT Pro 勉強会 参加申し込みはこちらからお願い致します。 (お知らせ) 悪天候などのために当日に会場に来られない方のために,オンラインでもコンテストに参加できるように準備を進めています. <競技の内容> コンテスト当日に作成したソフトウェアを持ちより,問題が含まれているテキストファイルを読み取り, そのテキストファイルに含まれている文字列がSQLインジェクション攻撃かどうかを機械学習の手法を用いて判別し, その正解率を競います. 競技の参加は個人でもチームでも構いません. (注意)競技のときには参加者の方が作成したソフトウ
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。 この状況で、セキュリティのことをよく知らない人がSQLインジェクション対策しようとした場合の行動を予測してみると、かなりの割合の人がGoogle等で検索して対処方法を調べると思われます。そこで、以下のURLでSQLインジェクション対策方法を検索した結果の上位のエントリを検証してみようと思い立ちました。 http://www.google.co.jp/search?q=SQLインジェクション対策 どこまで調べるかですが、以前NH
探し物していたらこんなの見つけた。 SQL Assured Resistance against SQL-Injection Attacks : A Whitelist-Coding Apploach and Implementation 東大生産技術研究所の方々によるSQLインジェクション対策の研究。拡張バインド機構みたいなものかなあ。定義されたSQL雛形による評価という話。 前にどこかで書いた?IPAの未踏の話だけど、思い出して論文読んでみたところ、Parosライクなスキャナーを作る話みたいですね。もちろん検出のテクニックなどはParosよりバリエーションを増やしたりするなど、いろいろ工夫されてるみたいですが。 いずれにしても楽しみだなあ。どんなのが出てくるか。こういう研究って他にもいろいろありそうだよね。・・・と論文探してみたらいくつかあったけど、みんな有料コンテンツだった。いろんな
川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト 2008/7/24 SQLインジェクションによる攻撃が止まらない。2008年3月に観測された大規模な攻撃以前から監視を続けているセキュリティアナリストが、見逃せない「変化」を見つけたという。コラム「川口洋のセキュリティ・プライベート・アイズ」筆者による緊急寄稿(編集部) 2008年3月に注意喚起を行ったSQLインジェクションのいま 皆さんこんにちは、川口です。普段私がお送りしている「川口洋のセキュリティ・プライベート・アイズ」の「あの『SQLインジェクション』騒動の裏で(前編)/(後編)」で説明した、2008年3月12日に始まったSQLインジェクション事件はいったん収束したかに見えました。しかし、攻撃は継続して行われています。今回は4月以降のSQLインジェクションの状況について説明します。 攻撃件数、攻撃元I
多発しているSQLインジェクション攻撃による被害について、前回はSQLインジェクションとはどのような攻撃であるかを概説した。今回は、なぜ最近になってSQLインジェクション攻撃が目立つようになってきたのか、その背景について考えてみたい。 ● SQLインジェクション攻撃のための“環境”が整ってきた 前回説明したSQLインジェクションという手法を使うことで、悪意のユーザーは目的のサーバーのデータベースにデータを外部から登録することができる。じつは、このSQLインジェクションという手法は、以前からも攻撃に利用されており、特に目新しいというわけではない。被害も以前からあり、3年ほど前にやや流行した時期があったが、大流行というほどではなかった。 しかし、2008年に入ってからは、特に3月以降に多数のWebサイトがSQLインジェクション攻撃にさらされ、改竄されたサイトの報告が相次いでいる。しかも、著名な
毎日のように起きる脆弱性を突いた攻撃、それを守るための仕組みも多数のベンダにより提供されていますが、実際にその攻撃を検知し、どのように対処するかということは人間の手――セキュリティアナリストによって行われています。本連載ではそのセキュリティアナリストと呼ばれる人たちが、どのような考え方やマインドで仕事をしているのかを探るべく、技術とともに“人”にフォーカスしたコラムとして伝えていきます(編集部) 「攻撃の波」をいち早く見つけることの意味 はじめまして。今回からこのコラムを担当する、川口といいます。わたしが勤める株式会社ラックは、企業のITインフラをリスクから守るためのさまざまなセキュリティソリューションを提供しています。わたしの役割は、企業・団体などのITネットワークを守るセキュリティ監視運用センター“JSOC”(Japan Security Operation Center:ジェイソック
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
