【社会】中国国内から「SQLインジェクション」…カード番号など流出した可能性 - サウンドハウス
714 :名無しさん@八周年:2008/04/09(水) 01:36:39 ID:cFqinnwH0
715 :名無しさん@八周年:2008/04/09(水) 01:38:30 ID:rShYUw1E0
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
717 :名無しさん@八周年:2008/04/09(水) 01:43:41 ID:lEQzVHPr0
どうせ制作費ケチったに決まってる。
718 :名無しさん@八周年:2008/04/09(水) 02:05:29 ID:rShYUw1E0
>>715
マイクロソフトは製品の信頼性上げないでそんなことばっかやってるよな。
マイクロソフトは製品の信頼性上げないでそんなことばっかやってるよな。
>>707
434 名前:名無しさん@八周年[sage] 投稿日:2008/04/07(月) 23:20:16 ID:7jMzikMv0
>>400
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
434 名前:名無しさん@八周年[sage] 投稿日:2008/04/07(月) 23:20:16 ID:7jMzikMv0
>>400
時間 提交者 頁面 看快照
2008-02-18 電脳迷 http://www.soundhouse.co.jp/jslib/asp1.asp 快照
見つけた
Mirror saved on 2008-02-18 18:15:13
Reason:僅作安全検測
IP&Port:210.143.133.210:80
Domain:www.soundhouse.co.jp
Url:http://www.soundhouse.co.jp/jslib/asp1.asp
System:未知系統/其他系統
WebServer:Microsoft-IIS
Hacker@Team:電脳迷
720 :名無しさん@八周年:2008/04/09(水) 02:28:59 ID:uLpCHMEJO
つうかそもそもSQLインジェクションってなんだよ
そこを説明してくれんとわけわからんだろ、この記事
そこを説明してくれんとわけわからんだろ、この記事
つ >>400
RE: 個人情報の流出について サウン
差出人: [email protected]
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
これでいいと思っているのかな?
差出人: [email protected]
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
これでいいと思っているのかな?
723 :名無しさん@八周年:2008/04/09(水) 02:43:01 ID:vJLOJM8O0
中国のNICに割り当てられてるIPのレンジ教えてほしいんだけど
マジでファイアウォールで弾くわ
マジでファイアウォールで弾くわ
724 :名無しさん@八周年:2008/04/09(水) 02:45:32 ID:zYaXgdF80
NIC?
726 :名無しさん@八周年:2008/04/09(水) 02:46:29 ID:o5pJtp1/0
>>727
半分以上の人がメール来てないよ。
半分以上の人がメール来てないよ。
>>722
> ・全てのウェブプログラムの見直しを行いセキュリティを強化。
どの位強固になったのか、2年前に攻略されたtoolをもう一回かけてみるとかってのはどうだww
ttp://dvd.3800hk.com/dispbbs.asp?BoardID=61&replyID=228554&id=151131&skin=1
最新の注入工具はもっと凄いんだろうなorz
> ・全てのウェブプログラムの見直しを行いセキュリティを強化。
どの位強固になったのか、2年前に攻略されたtoolをもう一回かけてみるとかってのはどうだww
ttp://dvd.3800hk.com/dispbbs.asp?BoardID=61&replyID=228554&id=151131&skin=1
最新の注入工具はもっと凄いんだろうなorz
とりあえず不便極まりない迷惑をこうむっている被害者の皆さん
集団損害賠償訴訟でしょ普通に
今回のはカード情報まで流出されたのだから
↓の例より悪質で被害者は今後もリスク負わされている。
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
集団損害賠償訴訟でしょ普通に
今回のはカード情報まで流出されたのだから
↓の例より悪質で被害者は今後もリスク負わされている。
Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定
ttp://internet.watch.impress.co.jp/cda/news/2007/12/17/17899.html
情報盗んだ奴はちゃんと逮捕されて
どこへどこまで流れたのか吐かせられるの?
どこへどこまで流れたのか吐かせられるの?
>>400みたいにハックできたところがずらっと並んでると思われるサイト見つけちまった・・・・・
怖いから見れなかった
誰か勇者おねがい
危ないから部分的に変えるわ
c*ina*ing.o*g/hits.txt
↑ ↑ ↑
h k r
怖いから見れなかった
誰か勇者おねがい
危ないから部分的に変えるわ
c*ina*ing.o*g/hits.txt
↑ ↑ ↑
h k r
735 :名無しさん@八周年:2008/04/09(水) 03:28:40 ID:c06sJURl0
>>724
長野市の公務員が過度にバカなだけ
長野市の公務員が過度にバカなだけ
736 :名無しさん@八周年:2008/04/09(水) 03:50:10 ID:5wWMZeoL0
マジで、全部抜かれたのかな?
762 名前:名無しさん@ご利用は計画的に[sage] 投稿日:2008/04/09(水) 03:23:21
> Mirror saved on 2008-02-18 18:15:13
> Reason:僅作安全検測
この「僅作安全検測」ってなんて訳すの?
ミラー作って安全に調べるって事かな
そりゃ、中身全部コピーしてlocalで解析するのは安全だわなw
762 名前:名無しさん@ご利用は計画的に[sage] 投稿日:2008/04/09(水) 03:23:21
> Mirror saved on 2008-02-18 18:15:13
> Reason:僅作安全検測
この「僅作安全検測」ってなんて訳すの?
ミラー作って安全に調べるって事かな
そりゃ、中身全部コピーしてlocalで解析するのは安全だわなw
737 :名無しさん@八周年:2008/04/09(水) 04:19:57 ID:e7esZ7oF0
今時SQLインジェクションって。。。
>同社データベースから全てのカード情報を削除
アホですか?
アホですか?
この手の記事で沸いてでてくるのが「今時〜かよ」ってコメントなんだけども
サイトの規模に応じて穴ふさぐのは結構大変だったりするので
知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
把握して驚くほどスピーディーに対処してくれるプログラマだったり、
事細かに技術指導しなくても一通りの知識もってて
自発的に対策してくれたりするものなんですかね?
私一応納品されてくるものチェックする立場の人間なんですが、
まともに対処済みコード納品してくる奴をあまり見たことが
ないので、ましてセキュリティ系Blogなどで講釈たれている人ってのは
ずいぶん人材に恵まれてるんだなあと思ったり。
サイトの規模に応じて穴ふさぐのは結構大変だったりするので
知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
把握して驚くほどスピーディーに対処してくれるプログラマだったり、
事細かに技術指導しなくても一通りの知識もってて
自発的に対策してくれたりするものなんですかね?
私一応納品されてくるものチェックする立場の人間なんですが、
まともに対処済みコード納品してくる奴をあまり見たことが
ないので、ましてセキュリティ系Blogなどで講釈たれている人ってのは
ずいぶん人材に恵まれてるんだなあと思ったり。
>>739
>知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
>把握して驚くほどスピーディーに対処してくれるプログラマだったり、
とうぜん、相応のカネは出してくれるんですよね?
もちろん喜んでやらせていただきますよ:)
>知ったかな物言いの方々というのは、何10万行ものコードでも一瞬で
>把握して驚くほどスピーディーに対処してくれるプログラマだったり、
とうぜん、相応のカネは出してくれるんですよね?
もちろん喜んでやらせていただきますよ:)
>もちろん喜んでやらせていただきますよ:)
そう言ってカネだけもらって、どこからかコピペしたような役に立たない
アドバイザリだけ納品して逃げた奴もたくさんいましたけど
あなたは違うということですね。(w
そう言ってカネだけもらって、どこからかコピペしたような役に立たない
アドバイザリだけ納品して逃げた奴もたくさんいましたけど
あなたは違うということですね。(w
742 :名無しさん@八周年:2008/04/09(水) 04:44:56 ID:yf/PG2780
>今回のは、単純なSQLインジェクションでは無いのだが…
>
>専用のクラッキングツール使って、IIS+SQLサーバ+ASP+SJISの文字列が引き起こす穴をついてる。
>
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しいのに、
>今更とか書いてる人こそ、なんちゃってなのでは?
>
>mysqlのエスケープ関数のコードを追ってみるといいよ
743 :名無しさん@八周年:2008/04/09(水) 05:00:50 ID:9EB+bccp0
>>550
アマゾンじゃオナホ売ってるけどなw
アマゾンじゃオナホ売ってるけどなw
なんとなくバインドを知らない人が混じっているような気がする......
746 :名無しさん@八周年:2008/04/09(水) 07:06:51 ID:SDgomq440
carviewサイトもやられましたよーw
747 :名無しさん@八周年:2008/04/09(水) 07:13:12 ID:w0PUL1ld0
>トレンドマイクロのWebサイトが改ざんされた被害も、
さりげにやばい事書いてない?
トレンドマイクロって、ありえんだろwwww
信用がああああああああ
さりげにやばい事書いてない?
トレンドマイクロって、ありえんだろwwww
信用がああああああああ
748 :名無しさん@八周年:2008/04/09(水) 07:15:14 ID:+TVKWdx50
>>739
中国のIPアドレスはじくだけで結構効果あるんじゃね?
中国のIPアドレスはじくだけで結構効果あるんじゃね?
750 :名無しさん@八周年:2008/04/09(水) 07:23:09 ID:grAIkXqfO
あ〜 俺、ここでPEAVYのヘッド買ったわ。
751 :名無しさん@八周年:2008/04/09(水) 07:25:29 ID:xg4zeFR70
ブレスオブファイアXのSOLはいいシステムだったわ
マルチバイトっていっても文字コード問題に悩まされてきた
perlなら大昔から当然のようにチェックするけどな
というか、どんな言語の文字コードが入ってこようが
汚染命令となる文字の表現バイト列は決まっているんだし。
PHPとかASPとか低能IT土方こそ一番触れさせてはいけない言語だな。
perlなら大昔から当然のようにチェックするけどな
というか、どんな言語の文字コードが入ってこようが
汚染命令となる文字の表現バイト列は決まっているんだし。
PHPとかASPとか低能IT土方こそ一番触れさせてはいけない言語だな。
753 :名無しさん@八周年:2008/04/09(水) 07:35:02 ID:GIzz5/Vq0
>>746
サウンドハウス:
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp
carview:
http://uptime.netcraft.com/up/graph?site=carview.co.jp
トレンドマイクロ:
http://uptime.netcraft.com/up/graph?site=http://www.trendmicro.co.jp
共通項はWindows鯖つかってること。
サウンドハウス:
http://uptime.netcraft.com/up/graph?site=http://www.soundhouse.co.jp
carview:
http://uptime.netcraft.com/up/graph?site=carview.co.jp
トレンドマイクロ:
http://uptime.netcraft.com/up/graph?site=http://www.trendmicro.co.jp
共通項はWindows鯖つかってること。
754 :名無しさん@八周年:2008/04/09(水) 07:41:46 ID:w0PUL1ld0
プログラムの報酬って難しいよな。
どうせ派遣で適当にプログラマ募集して薄給で作らせるんだろうけど。
どうせ派遣で適当にプログラマ募集して薄給で作らせるんだろうけど。
756 :名無しさん@八周年:2008/04/09(水) 08:11:23 ID:6nJ2xbwY0
艇脳底脳ってほんとむかつく。だいたいSQLなんて使う方がどうかしてるぜ。w
>マルチバイト言語に対する、インジェクション対策の為の文字列チェック・エスケープ処理は難しい
俺web系じゃないんだけど、
俺だったらSJISはまずとりあえずUTFに変換するわけだが
web系ってアホなの?
俺web系じゃないんだけど、
俺だったらSJISはまずとりあえずUTFに変換するわけだが
web系ってアホなの?
>>699あてね。
759 :名無しさん@八周年:2008/04/09(水) 08:29:47 ID:cUPR+dWJ0
ソフトそのものが中国製という可能性はないのか
バックドアを仕掛けておきそこから侵入したとか
バックドアを仕掛けておきそこから侵入したとか
オンライン決済の現場なんてこんなもんだぞ
カード番号や有効期限もそのままDB蓄積
必要ないデータも何かの為に取っておくとか意味不明な理由つけて全部保存
そのくせセキュリティについてはまったく一言も触れず、実質PG任せ。対策してて当たり前、のような空気だな。
でも俺からすればセキュリティ設計が仕様書に盛り込まれていないほうが悪いと思う。
書いてあっても『セキュリティに配慮した設計とする』とかの一言だけw
これが某大手の現場だよ
カード番号や有効期限もそのままDB蓄積
必要ないデータも何かの為に取っておくとか意味不明な理由つけて全部保存
そのくせセキュリティについてはまったく一言も触れず、実質PG任せ。対策してて当たり前、のような空気だな。
でも俺からすればセキュリティ設計が仕様書に盛り込まれていないほうが悪いと思う。
書いてあっても『セキュリティに配慮した設計とする』とかの一言だけw
これが某大手の現場だよ
761 :名無しさん@八周年:2008/04/09(水) 09:34:52 ID:G7KI2ysI0
>>724
いっぱんじょうじ?
いっぱんじょうじ?
RE: 個人情報の流出について サウン
差出人: info@soundhouse.co.jp
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
皆にこのコピペメール送ってるようだけど
これでいいの?
差出人: info@soundhouse.co.jp
送信日時: 2008年4月9日 1:38:17
宛先: @@@@@@@@@@hotmail.com)
@@@@@@@@様
この度、お客様には多大なるご迷惑、ご心配をおかけすることに至りましたことを改めて、お詫び申し上げます。
また、ご返事が遅くなり、誠に申し訳ございません。お客様からお問い合わせ頂いた件につきましては、既に配信
済みのメール内容と一部重複する可能性もあるかも知れませんが、回答させていただきます。 弊社におきまして
は、自社サーバーにおいて、早くからハッカーセーフを導入し、カード会社の推奨に従って3Dセキュア等のセキュ
リティー対策も施しておりましたが、既存のセキュリティーは看破され、情報流出に至っている次第となります。
現在はセキュリティ対策の専門会社からの提案に基づき、以下のシステム上のセキュリティ強化、及び対策に発覚
直後より取り組み、すべて完了しております。
・弊社データベースから全てのカード情報を削除。
・ファイヤーウォールの強化を行い不正侵入対策を強化。
・不正侵入監視機器を導入し24時間体制で監視。
・全てのウェブプログラムの見直しを行いセキュリティを強化。
・ウェブサーバー上に存在した不審なプログラムの削除。
・システム構成の見直し。
・社内管理体制を見直し、セキュリティ管理・対策委員会を設置
ご迷惑をおかけし、誠に申し訳ございませんが、何卒ご理解の程、よろしくお願い致します。
だとさ。
皆にこのコピペメール送ってるようだけど
これでいいの?
>全てのウェブプログラムの見直しを行いセキュリティを強化
いくら設備や管理に金かけてもSQL文のエスケープミスでドカーンなんだし
優秀なプログラマを雇う
これ以外に対策無いと思うけど
いくら設備や管理に金かけてもSQL文のエスケープミスでドカーンなんだし
優秀なプログラマを雇う
これ以外に対策無いと思うけど