LogiSense社の複数のアプリケーションにSQLインジェクションの可能性 | ScanNetSecurity
2021.01.20(水)

LogiSense社の複数のアプリケーションにSQLインジェクションの可能性

◆概要:  報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

国際 海外情報
◆概要:
 報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

 Hawk-i Billingは請求書作成アプリケーションである。Hawk-i ASPは、社内で顧客管理システム、請求書作成システムを維持しながら通常必要とされるコストを削減し、労力を軽減する。DNS Managerは、ベースとなるウェブサービスとの関係を維持しながら大量のドメイン、サブドメインの管理を簡素化するウェブをフル活用した中央ソリューションである。製品の詳細は、
http://www.logisense.com/solutions.html で入手可能。

◆情報ソース:
 BugTraq (Edward Fahner, akatosh@rains.net), June 04, 2002

キーワード:Other: Server application

◆分析:
 (iDEFENSE米国)SQLインジェクションにより、SQLコマンドを作成、または既存のSQLコマンドを変更して、本来ならばアクセスできないデータにアクセスしたり、場合によってはホストでシステムレベルのコマンドを実行したりできる。攻撃の成否は、入力の検証ルーチンが存在しないか、または不十分かどうかによる。多くのウェブアプリケーションで用いられているセキュリティモデルでは、SQLクエリーは信頼できるコマンドであると想定されている。すなわち、SQLクエリーはアクセスコントロールを回避でき、その結果、標準的な認証や認証チェック、この場合はログオンフォームを回避する。場合によっては、SQLクエリーがホストのオペレーティングシステムレベルのコマンドにアクセスできる可能性がある。

◆検知方法:
 上述のアプリケーションの全バージョンで、問題がある可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:51 GMT、06、04、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×