« 痛快!ビッグダディ 再び | Home | 貼れるのかテスト »

Apr 092008

SQL インジェクションによる Web サイト改ざんに関する注意喚起

JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起

仕組みはイマイチ分からないですが、
なんかそういうことらしいです。

Windowsだけの問題なのか、Macも含まれるのか?
カスペルスキーが対応しているのか分からないですが・・・。

9 Comments

サイトに表示するデータに埋め込まれたscriptタグによって呼び出されたfuckjp.jsなどが、ブラウザの脆弱性を突く、という仕組みですね。
下記にはこうしろと書いてあります。
http://itpro.nikkeibp.co.jp/article/NEWS/20080327/297304/?ST=security
(1)Windowsおよびパソコン上にあるすべてのアプリケーションを最新のバージョンにすること
(2)ウイルス対策ソフトをインストールし,最新の定義ファイルにアップデートして利用すること

ユージン先生なら抜かりはないかとw。

別なサイトで、「許可したサイトでしかJSを実行しないように設定する」という方法も書かれてました。まぁそれでも100%防げるわけではないですけど・・・。

>ユージン先生なら抜かりはないかとw。
さすが!ユージン先生!

>「許可したサイトでしかJSを実行しないように設定する」
これってすげえ面倒ですよねーー。

参照先のサイトにある
>「今後の攻撃に備えて,Webアプリケーションのぜい弱性を根絶する努力をすべき」
っていつも具体的にどういうことをするのか分からないですが、SE(プログラマ?)の人って大変だなあ・・・って思います。

>いつも具体的にどういうことをするのか分からないですが

要は、ユーザーの入力にscriptタグがあれば、その入力をページに表示する際JSが実行されてしまうし、DBの内容を取ってくるSQLが入っているとDBの内容が表示されてしまうので、そういったものを無効化すればいいんですよね。
各言語にはそういう関数も用意されていたりするので、それを適切に使えばいいんですが、言語の入門書は「とりあえず動く」サンプルしか載せてないものばかりですし、対策しなきゃいけないものもXSSやらSQLインジェクションやらOSコマンドインジェクションやらいろいろあるので、ちゃんとしたプログラムを書くってのも大変ですね。

もうユーザーの入力なんか受け付けなきゃいいんですよ(違

てか+39さんの方が、ぜい弱性対策より遥かに大変なことやってますってw

>要は、ユーザーの入力にscriptタグがあれば、その入力をページに表示する際JSが実行されてしまうし、
おお、なるほど、これは分かりやすい。なるほどーー。あれですねブログのコメントにJS書いて実行されちゃうみたいなことですよね?(違う??)>を変換したり??
そんな簡単なことじゃないか・・。

>てか+39さんの方が、ぜい弱性対策より遥かに大変なことやってますってw
いや、そんなことは無いと思うけど・・。

いや、まさにそうですよ。ユーザー入力値の中で、そのままじゃヤバイ「<」とかを無効化するんです。
SQL文に使うなら「'」を無効化、とか。
ユーザー入力についてはあとバッファオーバーフローもありますかね。いずれにしてもやらなきゃいけない事自体はそう複雑じゃないんですが、それをやってないWebアプリが多いというだけで。

なるほど・・・全部URLencordeしちゃえば済むって話ではなく・・・?

ぐあっ、僕が書いた「<」がエスケープされてました(汗
こう書きました。

いや、まさにそうですよ。ユーザー入力値の中で、そのままじゃヤバイ「<」とかを無効化するんです。
SQL文に使うなら「'」を無効化、とか。

で、全部URLencodeで済むものでもないですね…1個1個は単純ですが、Webアプリのぜい弱性の種類は僕が知る限り15種類くらいありますので。

いやーとても面倒臭そうです。
やっぱSEの人はすごいです。
オデ無理ッスw

Leave a comment

Search and Archives