【セキュリティ】SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起 [08/12/22]
265 :名無しさん@九周年:2008/12/27(土) 01:23:05 ID:ZlfDGMbR0
266 :名無しさん@九周年:2008/12/27(土) 01:27:29 ID:dIvhW9ds0
267 :名無しさん@九周年:2008/12/27(土) 01:30:13 ID:9Vt0o/pR0
>>250
今はその URL に何も置かれてないみたいだけど。
置かれていても、踏んだってそのまま表示されるだけで何も起こらない。
データベースの画面表示に使われる項目が入ってるカラムを
外部の JavaScript のソースを読み込ませるタグを追加して書き換えようとしてるんだな。
表示側で html 等の意味のあるものをそのまま出力しないように(サニタイジング言うな)
なっていればこれが成功しても、問題は起きないわけではあるが。
>>259
対策のしようがある仕様になっているかどうかが問題かと思う。
バインドするにしてもO/Rマッピングするにしても、
それに使うモノを作った人がその仕様を把握しきれるかどうかが問題になる。
謎な仕様が多いものは避けるにこしたこたない。
不正アクセス検知の面から見ても、謎な仕様に対応した製品を必死で探すよりは
謎な仕様をなくしてもらうか、謎な仕様が少ない製品を採用した方がいい。
>>263
JavaScript の内容次第では Mac でも問題が起きない事はない。
ローカルに何か置かれて実行までされたような例は聞いた事がないが。
今はその URL に何も置かれてないみたいだけど。
置かれていても、踏んだってそのまま表示されるだけで何も起こらない。
データベースの画面表示に使われる項目が入ってるカラムを
外部の JavaScript のソースを読み込ませるタグを追加して書き換えようとしてるんだな。
表示側で html 等の意味のあるものをそのまま出力しないように(サニタイジング言うな)
なっていればこれが成功しても、問題は起きないわけではあるが。
>>259
対策のしようがある仕様になっているかどうかが問題かと思う。
バインドするにしてもO/Rマッピングするにしても、
それに使うモノを作った人がその仕様を把握しきれるかどうかが問題になる。
謎な仕様が多いものは避けるにこしたこたない。
不正アクセス検知の面から見ても、謎な仕様に対応した製品を必死で探すよりは
謎な仕様をなくしてもらうか、謎な仕様が少ない製品を採用した方がいい。
>>263
JavaScript の内容次第では Mac でも問題が起きない事はない。
ローカルに何か置かれて実行までされたような例は聞いた事がないが。
268 :名無しさん@九周年:2008/12/27(土) 01:37:06 ID:ACXAHR2u0
>>267
>ローカルに何か置かれて実行までされたような例は聞いた事がないが。
それはLinux/OS Xでは実現不可だから。JavaScriptといってもローカルのファイルまで操作
みたいな凶悪なことができるのは、MSが勝手に拡張したJScriptのみ。
これはWIndows(IE)環境でしかうごかない。
>ローカルに何か置かれて実行までされたような例は聞いた事がないが。
それはLinux/OS Xでは実現不可だから。JavaScriptといってもローカルのファイルまで操作
みたいな凶悪なことができるのは、MSが勝手に拡張したJScriptのみ。
これはWIndows(IE)環境でしかうごかない。
lヽ ノ l l l l ヽ ヽ
)'ーーノ( | | | 、 / l| l ハヽ |ー‐''"l
/ S | | |/| ハ / / ,/ /|ノ /l / l l l| l S ヽ
l ・ i´ | ヽ、| |r|| | //--‐'" `'メ、_lノ| / ・ /
| Q l トー-トヽ| |ノ ''"´` rー-/// | Q |
| ・ |/ | l ||、 ''""" j ""''/ | |ヽl ・ |
| L | | l | ヽ, ― / | | l L |
| !! | / | | | ` ー-‐ ' ´|| ,ノ| | | !! |
ノー‐---、,| / │l、l |レ' ,ノノ ノハ、_ノヽ
/ / ノ⌒ヾ、 ヽ ノハ, |
,/ ,イーf'´ /´ \ | ,/´ |ヽl |
/-ト、| ┼―- 、_ヽメr' , -=l''"ハ | l
,/ | ヽ \ _,ノーf' ´ ノノ ヽ | |
、_ _ ‐''l `ー‐―''" ⌒'ー--‐'´`ヽ、_ _,ノ ノ
 ̄ ̄ | /
)'ーーノ( | | | 、 / l| l ハヽ |ー‐''"l
/ S | | |/| ハ / / ,/ /|ノ /l / l l l| l S ヽ
l ・ i´ | ヽ、| |r|| | //--‐'" `'メ、_lノ| / ・ /
| Q l トー-トヽ| |ノ ''"´` rー-/// | Q |
| ・ |/ | l ||、 ''""" j ""''/ | |ヽl ・ |
| L | | l | ヽ, ― / | | l L |
| !! | / | | | ` ー-‐ ' ´|| ,ノ| | | !! |
ノー‐---、,| / │l、l |レ' ,ノノ ノハ、_ノヽ
/ / ノ⌒ヾ、 ヽ ノハ, |
,/ ,イーf'´ /´ \ | ,/´ |ヽl |
/-ト、| ┼―- 、_ヽメr' , -=l''"ハ | l
,/ | ヽ \ _,ノーf' ´ ノノ ヽ | |
、_ _ ‐''l `ー‐―''" ⌒'ー--‐'´`ヽ、_ _,ノ ノ
 ̄ ̄ | /
>>267
置かれてなくて良かった
>>266
さすがに企業で使うサーバで
デフォ設定で利用してたらSIが糞だろ
無知な個人じゃないんだから
>>265
まぁまったく非がないとは言わないが
対策は広く知れ渡ってるものなんだからってのはある
置かれてなくて良かった
>>266
さすがに企業で使うサーバで
デフォ設定で利用してたらSIが糞だろ
無知な個人じゃないんだから
>>265
まぁまったく非がないとは言わないが
対策は広く知れ渡ってるものなんだからってのはある
271 :名無しさん@九周年:2008/12/27(土) 02:07:25 ID:9E2AK4iq0
272 :名無しさん@九周年:2008/12/27(土) 09:12:04 ID:SSJblo4r0
w
273 :名無しさん@九周年:2008/12/27(土) 09:21:05 ID:FPRhSQyLO
で、ビパより高い攻撃力なのか?
274 :名無しさん@九周年:2008/12/27(土) 10:35:22 ID:WFutRi1L0
だからWindows鯖はやめとけとあれほど。。。
275 :名無しさん@九周年:2008/12/27(土) 11:00:38 ID:vM4Iubid0
大陸ではツール公開して島国でのテスト結果を曝して皆で日々共同研究してるじゃないか
しらない間にそのサイトにあなたの管理サイトの名前が載ってたりするよ
しらない間にそのサイトにあなたの管理サイトの名前が載ってたりするよ
異論!
反論!
↓
反論!
↓
277 :名無しさん@九周年:2008/12/27(土) 11:40:12 ID:YijpSJc30
278 :名無しさん@九周年:2008/12/27(土) 12:13:30 ID:EKNhTgz80
AVGfreeは対応してる?
280 :名無しさん@九周年:2008/12/27(土) 12:26:54 ID:8g3dTRab0
プロ(笑)。
281 :名無しさん@九周年:2008/12/27(土) 13:08:42 ID:J4BtSkXf0
日本を襲う史上最悪のサイバー攻撃 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081226nt0b.htm?from=yoltop
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081226nt0b.htm?from=yoltop
素人の趣味をバカにしていながらそれ以下の技術力しかないプロが多いのが日本のSI屋。
口八丁のコミュニケーション能力を重視し技術力を軽視ししてるからお粗末なことになっても自業自得。
IT企業はクライアントに多額の損害賠償払えばいい。
口八丁のコミュニケーション能力を重視し技術力を軽視ししてるからお粗末なことになっても自業自得。
IT企業はクライアントに多額の損害賠償払えばいい。
283 :名無しさん@九周年:2008/12/27(土) 13:30:03 ID:J4BtSkXf0
今回の攻撃は、一般ユーザーに感染したボットから行われているため、犯人を追跡することは難しい。
しかし状況証拠から、犯人は中国在住ではないかと思える節がある。
ラックによると「解析したところ、中国政府と中国の学校のドメインは攻撃しないように指定していた」とのこと。
中国政府のドメインである「gov.cn」と中国の学校関連のドメイン「edu.cn」だけは、
SQLインジェクション攻撃をしないようにプログラムされていたのだ。
しかし状況証拠から、犯人は中国在住ではないかと思える節がある。
ラックによると「解析したところ、中国政府と中国の学校のドメインは攻撃しないように指定していた」とのこと。
中国政府のドメインである「gov.cn」と中国の学校関連のドメイン「edu.cn」だけは、
SQLインジェクション攻撃をしないようにプログラムされていたのだ。
284 :名無しさん@九周年:2008/12/27(土) 13:40:24 ID:QygkQvIX0
MS06-014
これってザクU?
これってザクU?
285 :名無しさん@九周年:2008/12/27(土) 15:02:45 ID:x6hPdq1R0
なんか人を素人呼ばわりしたい自称プロがいっぱいいるスレですね。
>>282
素人しかいないのが問題なんだよw
素人しかいないのが問題なんだよw
オンラインゲームでP2Pじゃないものって無料ゲームとか?
有料でP2Pじゃないものも多いのか?
有料でP2Pじゃないものも多いのか?
↑
P2Pの意味わかってるの?
P2Pの意味わかってるの?
釣り師だらけでふいた。
P2Pはパッケ購入するネトゲかね?
マッチングサーバだけ用意して、遊ぶときはP2P通信
クライアントが無料のネトゲだと、P2Pは珍しい気がする。
チートし放題になりそうだし
マッチングサーバだけ用意して、遊ぶときはP2P通信
クライアントが無料のネトゲだと、P2Pは珍しい気がする。
チートし放題になりそうだし
291 :名無しさん@九周年:2008/12/27(土) 22:19:11 ID:BYuwxiS80
w
>>283
> 中国政府のドメインである「gov.cn」と中国の学校関連のドメイン「edu.cn」だけは、SQLインジェクション攻撃をしないようにプログラムされていたのだ。
この問題は・・・
gov.cnとedu.cnだけを攻撃するように書き変えて感染したら解決するんじゃね?
> 中国政府のドメインである「gov.cn」と中国の学校関連のドメイン「edu.cn」だけは、SQLインジェクション攻撃をしないようにプログラムされていたのだ。
この問題は・・・
gov.cnとedu.cnだけを攻撃するように書き変えて感染したら解決するんじゃね?
うむ
294 :名無しさん@九周年:2008/12/27(土) 22:42:44 ID:H3u7cB+h0
>>292
www
www
>>1
ザク?
ザク?
296 :名無しさん@九周年:2008/12/28(日) 00:57:46 ID:r4IuJB3V0
MSへの損害訴訟まだ〜?
298 :名無しさん@九周年:2008/12/28(日) 10:10:20 ID:fO4OM4ft0
意味がわかんないけど、
フラッシュプレーヤー9.0.124.0から10にアップした方がいい?
フラッシュプレーヤー9.0.124.0から10にアップした方がいい?
Winしか使えない奴は、OSやSQLServerが悪いんじゃなくて管理者が悪いというのが定番になったな。
MSの製品が危険と認めたら失業だもんなwww
MSの製品が危険と認めたら失業だもんなwww
↑
Winの使い方を知らないひと
Winの使い方を知らないひと
301 :名無しさん@九周年:2008/12/28(日) 18:41:10 ID:0LhFCjDi0
いや、 中国が悪いに決まってるだろw
303 :名無しさん@九周年:2008/12/28(日) 18:54:04 ID:X24shmq10
「MicrosoftはXbox 360の欠陥を認識しながら修理を見送った」ことが裁判資料で判明
http://itpro.nikkeibp.co.jp/article/NEWS/20081219/321777/
304 :名無しさん@九周年:2008/12/28(日) 18:54:05 ID:4hGmXHgc0
305 :名無しさん@九周年:2008/12/28(日) 20:57:38 ID:c5AnRH9S0
ラック(笑)
>>282
むしろ生粋の文系ほど採用されやすい罠
むしろ生粋の文系ほど採用されやすい罠
ITまったくわかってない文系の幹部がセールストークに騙されて
MS製品導入ってケースもあります。
イニシャルコストしか見てない。
MS製品導入ってケースもあります。
イニシャルコストしか見てない。
技術力が無ければMSに頼らざるを得ないし、技術力がなければそもそも
Windows以外は無理なんだから金がかかるのはしょうがないでしょ。
お金を払うから技術は任せたってのがMSとの付き合い方。
Windows以外は無理なんだから金がかかるのはしょうがないでしょ。
お金を払うから技術は任せたってのがMSとの付き合い方。