スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

ソニーの情報漏洩に悪用されたSQLインジェクション

1 :名無しさん必死だな:2011/05/31(火) 07:30:09.70 ID:QKHxu8KF0

 SQLインジェクションとは、ユーザーの要求に応じてデータベースと連携してWebページを表示させるためのWebアプリに潜む
脆弱性を突く攻撃手法で、ユーザーが入力したデータを信じてそのまま使ってしまうことで裏側にあるデータベースに不正な
要求が送られてしまうというものです。注意を怠っていて、不正な要求に応えないプログラミング、設計、構造にしていないのが
原因です。SQLインジェクションという攻撃手法は昔から広く知られていて、これまでに起こったクレジットカードや個人情報の
流出の多くに使われたのが、SQLインジェクションでした。SQLインジェクションを防ぐためには、悪いハッカーが送り込む不正な
要求に応えないようにすればいいのです。

 SQLインジェクション以外にもいくつか既に知られた攻撃手法があるのですが、セキュリティ対策に取り組んでいる企業の
Webサイトではそれらの対策は当たり前のこととして行われています。多くのサイトでWeb脆弱性がないかどうかを調べる
脆弱性検査サービスを受けることも一般的なこととして行われています。

私の知る限り、これまでにSQLインジェクションで攻撃を受けてしまった多くのWebサイトでは、検査もセキュアな開発も
行われていませんでした。そして、しっかりと検査を受けたり、セキュアな開発に努めていたりしていれば、被害に遭う
ケースはほとんどありません。

 私の経験から推測すると、被害に遭ったソニー関連のWebサイトではこれらの基本的な対策が採られていなかった
可能性があります。ハッカーに狙われたらどんなWebサイトでも陥落すると言われることも多いのですが、SQLインジェクション
などの旧知の攻撃手法は高度な攻撃手法ではありませんし、基本的な対策手法は広く知られているのです。

 発表にあったように既知の脆弱性が原因だとすれば、その脆弱性だけの対策をするだけでは、そのレベルの攻撃の対
策にしかなりません。さらに高度な攻撃が行われた場合には、再度侵入を許すかもしれないのです。報道によると
再発防止のために様々なセキュリティ対策を施したということですが、現実にはグループ企業のWebサイトが次々と
被害に遭っています。

http://pc.nikkeibp.co.jp/article/column/20110530/1032065/?f=ranking

3 :名無しさん必死だな:2011/05/31(火) 07:32:02.48 ID:yjDomYXq0
要するに、ウイルス対策ソフト入れてなかったレベル



4 :名無しさん必死だな:2011/05/31(火) 07:32:45.20 ID:jG3bmohJ0
古典的すぎて泣ける



5 :名無しさん必死だな:2011/05/31(火) 07:33:36.40 ID:266tJYw1O
個人運営サイトかよ



6 :名無しさん必死だな:2011/05/31(火) 07:38:14.19 ID:NmvccI6BP
もうやだこの会社・・・



7 :名無しさん必死だな:2011/05/31(火) 07:39:28.64 ID:4RKfaldu0
セキュリティだけじゃなくて、事実、
ソニー製品ってこういう感じで作られているんだけどけどね
タイマータイマーって言ってるけど、タイマーじゃないんだな、本当にヤワなんだよ




10 :名無しさん必死だな:2011/05/31(火) 07:53:24.44 ID:oPfsjlXK0
SQLインジェクションなんて数年前にやばいとう話題が出てたのにね

ついでにOSに対するインジェクション攻撃もあったのではと言われている




11 :名無しさん必死だな:2011/05/31(火) 08:01:45.15 ID:J36lh5WT0
>私の経験から推測すると、被害に遭ったソニー関連のWebサイトではこれらの基本的な対策が採られていなかった
>可能性があります。
可能性どころじゃないだろw グループでだだ漏れだわ責任者もいねえわで100%取ってないなかったと断言できるレベル



14 :名無しさん必死だな:2011/05/31(火) 08:32:20.31 ID:Z2sq3EBQ0
こんな感じだな

ログインID:'; select * from syscat.tables where 1=1 or ''='



16 :名無しさん必死だな:2011/05/31(火) 08:41:29.33 ID:hB7i2sfWO
>>14
バインド変数使えば問題ないんだよね…ソレ

にしても、ザルすぎる
2005年の日経パソコンでも一般人向けに警告されてたのにw




元:http://kamome.2ch.net/test/read.cgi/ghard/1306794609/



関連記事
スポンサーサイト

この記事へのコメント

トラックバック

URL :

カテゴリ
プロフィール

2ch22ryou

Author:2ch22ryou
趣味;ゲーム

記事&コメント+トラバ+全記事表示
全記事表示
検索フォーム
相互リンク&お気に入りBlog、サイト
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。