海外から国内のWebサイトにSQLインジェクション脆弱性検出の動き(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2016.12.04(日)

海外から国内のWebサイトにSQLインジェクション脆弱性検出の動き(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、日本国内外からJPCERT/CCに、国内のWebサイトにSQLインジェクションの脆弱性が存在することが報告されていると「Japan Vulnerability Notes(JVN)」で発表した。海外からオープンソースの脆弱性診断ツール「sqlmap」を使用し、国内のWebサイトで動作するWebアプリケーションを対象としたSQLインジェクションの脆弱性を検出しようとするアクセスが行われているという。

sqlmapでは、主に「Boolean-based blind」「Time-based blind」「Error-based」「UNION query-based」「Stacked queries」の5つのSQLインジェクションの手法を使用する。SQLインジェクションの脆弱性のあるWebアプリケーションでは、攻撃者により認証回避や任意のプログラム実行、情報漏えい、Webサイトの改ざんなど、深刻な影響を受ける可能性がある。なお、前述のSQLインジェクションの手法は、静的プレースホルダを使用するなど通常のSQLインジェクション対策で防ぐことが可能としている。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. マルウェア「Mirai」などに感染したIoTボットネットによるDDoS攻撃に注意(JVN)

    マルウェア「Mirai」などに感染したIoTボットネットによるDDoS攻撃に注意(JVN)

  2. 最大623GbpsのDDoS攻撃を記録、手法はIoTボットネット(アカマイ)

    最大623GbpsのDDoS攻撃を記録、手法はIoTボットネット(アカマイ)

  3. Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow)  (Scan Tech Report)

    Linux カーネルにおいて競合状態制御の不備により権限を昇格されてしまう脆弱性 (Dirty Cow) (Scan Tech Report)

  4. [Internet Week 2016] 厳選セキュリティセッション 第4回 「サイバー攻撃2016 ~正しく見抜いて対策へ~」中津留 勇 氏と品川 亮太郎 氏

  5. Webサイトの改ざん報告が増加、さらなる攻撃のための前調査の可能性も(JPCERT/CC)

  6. Amazonを騙るフィッシングメールを確認、違和感のある日本語本文(フィッシング対策協議会)

  7. 国内のオープンリゾルバ等を使ったDNS水責め攻撃が再開--定点観測レポート(JPCERT/CC)

  8. 「ntpd」にDoS攻撃を受けるなど複数の脆弱性、アップデートを呼びかけ(JVN)

  9. ログイン“試行”なのにパスワード変更を要求、「NEXON」フィッシング(フィッシング対策協議会)

  10. 細工されたPDFにより、サーバ上のセンシティブな情報を窃取される可能性(JVN)

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×