2016.07.30(土)

海外から国内のWebサイトにSQLインジェクション脆弱性検出の動き(JVN)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、日本国内外からJPCERT/CCに、国内のWebサイトにSQLインジェクションの脆弱性が存在することが報告されていると「Japan Vulnerability Notes(JVN)」で発表した。海外からオープンソースの脆弱性診断ツール「sqlmap」を使用し、国内のWebサイトで動作するWebアプリケーションを対象としたSQLインジェクションの脆弱性を検出しようとするアクセスが行われているという。

sqlmapでは、主に「Boolean-based blind」「Time-based blind」「Error-based」「UNION query-based」「Stacked queries」の5つのSQLインジェクションの手法を使用する。SQLインジェクションの脆弱性のあるWebアプリケーションでは、攻撃者により認証回避や任意のプログラム実行、情報漏えい、Webサイトの改ざんなど、深刻な影響を受ける可能性がある。なお、前述のSQLインジェクションの手法は、静的プレースホルダを使用するなど通常のSQLインジェクション対策で防ぐことが可能としている。
《吉澤 亨史》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

    政府が「ポケモンGO」に関する注意喚起を発表、9つの注意点を記載(NISC)

  2. 「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

    「Apache Struts 1」利用に早急な切り替えを呼びかけ--JVN登録状況(IPA)

  3. Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

    Vプリカを騙るメールに注意喚起、本文に再び“流失”の表記(フィッシング対策協議会)

  4. GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性

  5. Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  6. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  7. テレビ会議システム「LifeSize Room」に複数の脆弱性(JVN)

  8. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  9. NAS用OS「QNAP QTS」におけるクロスサイトスクリプティングの脆弱性(ラック)

  10. Ubuntu のクラッシュレポート機能 (Apport) により権限昇格されてしまう脆弱性(Scan Tech Report)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×