U+00A5でSQLインジェクション | 水無月ばけらのえび日記
公開: 2024年3月9日16時55分頃 「JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 (www.tokumaru.org)」。 U+00A5の「¥」が Shift_JIS に変換されるときなどに 0x5c に変換されてしまうことがあり、エスケープを突破されることがあるというお話。 Prepared Statementでも駄目というのが興味深いですが、「useServerPrepStmtsを使うのが根本解決だとはおもう。けど…? (www.geminium.com)」によると、設定をしないとサーバ側で処理するPrepared Statementは使われないという話のようですね。 「U+00A5でSQLインジェクション」へのコメント (2件)関連する話題: セキュリティ / SQLインジェクション
IPAからの指摘を教訓にできなかったアイリスプラザ | 水無月ばけらのえび日記
うわぁ。これは大ショックです。 アイリスプラザに不正アクセス、カード情報2万8105件流出か (internet.watch.impress.co.jp)カード番号2万8000件流出の恐れ アイリスプラザのECサイト、SQLインジェクションで (www.itmedia.co.jp)アイリスプラザ、古いプログラムを突かれカード情報2万8000件を漏洩 (itpro.nikkeibp.co.jp)そしてお詫びとご説明 (www.irisplaza.co.jp)、FAQ (www.irisplaza.co.jp)。 Q.不正アクセスに対する対策はしていたのか? A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、既に使われていない古いプログラムは対策されておらず、結果的にそのプログラムから攻撃を受けています。 「SQLインジェクション対策はしておりましたが」って言い切られてしま
最近の改竄事件でMicrosoft SQL Serverが狙われる理由 | 水無月ばけらのえび日記
「SQL Serverが狙われるには理由がある (www.tokumaru.org)」。 SQL Serverにはxp_cmdshellという便利な機能があり、SQL文で簡単に任意コマンドが実行できたりします。昔は、このxp_cmdshellを利用したと思われるタイプの改竄が良くありました。 が、最近流行っているのは任意コマンド実行ではなく、DBにひたすらスクリプトを突っ込み、それがエスケープされずに表示されるのを期待するという方法です。この方法ならxp_cmdshellは必要ないので、MSのSQL Serverに限らず、どんなSQLサーバでも攻略されるのではないか……と思いながらも、何故かSQL Serverが中心に狙われているようなので不思議だったのでした。 徳丸さんの分析によれば、最近流行の攻撃手法はSQLの複文を使用していて、それが動くのがSQL ServerとPostgreSQL
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
