LogiSense社の複数のアプリケーションにSQLインジェクションの可能性 | ScanNetSecurity
2021.10.23(土)

LogiSense社の複数のアプリケーションにSQLインジェクションの可能性

◆概要:  報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

国際 海外情報
◆概要:
 報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

 Hawk-i Billingは請求書作成アプリケーションである。Hawk-i ASPは、社内で顧客管理システム、請求書作成システムを維持しながら通常必要とされるコストを削減し、労力を軽減する。DNS Managerは、ベースとなるウェブサービスとの関係を維持しながら大量のドメイン、サブドメインの管理を簡素化するウェブをフル活用した中央ソリューションである。製品の詳細は、
http://www.logisense.com/solutions.html で入手可能。

◆情報ソース:
 BugTraq (Edward Fahner, akatosh@rains.net), June 04, 2002

キーワード:Other: Server application

◆分析:
 (iDEFENSE米国)SQLインジェクションにより、SQLコマンドを作成、または既存のSQLコマンドを変更して、本来ならばアクセスできないデータにアクセスしたり、場合によってはホストでシステムレベルのコマンドを実行したりできる。攻撃の成否は、入力の検証ルーチンが存在しないか、または不十分かどうかによる。多くのウェブアプリケーションで用いられているセキュリティモデルでは、SQLクエリーは信頼できるコマンドであると想定されている。すなわち、SQLクエリーはアクセスコントロールを回避でき、その結果、標準的な認証や認証チェック、この場合はログオンフォームを回避する。場合によっては、SQLクエリーがホストのオペレーティングシステムレベルのコマンドにアクセスできる可能性がある。

◆検知方法:
 上述のアプリケーションの全バージョンで、問題がある可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:51 GMT、06、04、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×