約450万人分もの個人情報が漏えいしたYahoo! BB顧客情報漏洩事件をはじめ、何らかの要因によって大事な情報が外部に漏れてしまうケースは少なくありません。企業のシステム管理に携わっている人ならともかく、一般の社員などでは「情報セキュリティ」についての認識が甘いというケースも多いのではないでしょうか。 NTT西日本が作成した「セキュリティ投資すごろく」は遊びながら情報セキュリティについて学べるという無料ゲームで、情報セキュリティ対策の基本的な知識や考え方を無理なく覚えることができます。これから情報セキュリティについて学びたいという人にはピッタリかもしれません。 「セキュリティ投資すごろく」の遊び方は以下から。セキュリティ投資すごろく 上記ページ内、「ゲームを始める」をクリック。 男性と女性からキャラクターを選びます。今回はかわいらしい女性にしてみました。「次へ」をクリック。 プレイヤーの
ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog ここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。 本当にブラックリストタイプのWAFで防ぐことができないのでしょうか。IBMのレポートに紹介されている以下の攻撃で考えてみます。 /target.asp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く