Microsoft has a fix for preventing the next CrowdStrike fiasco, but is it a good one?Maybe giving security firms access to the Windows isn’t the best idea, but freezing them out could be worse.
IPA(独立行政法人情報処理推進機構)は3月18日、SQLインジェクション攻撃からWebサイトを防御するための対策として、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」を公開した。 IPAは、無償で公開しているSQLインジェクション検出ツール「iLogScanner」で脆弱性対策情報データベース「JVN iPedia」のアクセスログを解析している。その結果、Webサイトを狙ったと思われる攻撃のうち、SQLインジェクション攻撃が全体の45%、Webサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めていることがわかった。 SQLインジェクション検出ツール「iLogScanner」による脆弱性対策情報データベース「JVN iPedia」の解析結果 資料:IPA SQLインジェクション攻撃が成功した場合、Webサ
■「かんたんログイン」DNSリバインディング耐性のチェック方法 このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。 基本的な前提として、検査対象のWebサイトの管理者が自ら検査することを想定しています。 用意するもの チェック対象のWebアプリケーション(かんたんログイン機能あり) 携帯電話(かんたんログイン可能なもの) インターネット接続されたパソコン ステップ0:IPアドレスの調査 検査対象のWebサーバーのIPアドレスを調べます。一例として、検査対象サーバーのホスト名が mobile.example.com の場合、以下のコマンドでIPアドレスを調べることができます。 C:>nslookup mobile.example.
2006.03.06 追記 この問題については、iakio日誌(2006-02-15)において、PHP スクリプトで回避する方法の例と、PostgreSQL に Patch を当てて回避する方法を示しておられます。問題の影響を受ける場合は参考にすると良いと思います。 1月22日に書いた、addslashes() による SQL 文字列のエスケープ回避問題の続きです。PostgreSQL でさらに検証してみました。 結論としては、前回と同様ですが、PostgreSQL に関しては、SJIS は使用しない方が安全という事になります。 クライアントの文字コードとして、SJIS を使用している場合、addslashes() によるエスケープは既に指摘されている通りですが、PostgreSQL 用の文字列エスケープ関数である、pg_escape_string() を使用している場合でも問題があります
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
