徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由があるノウハウ(Tips)[okyuu.com]

質問する
さがす

ノウハウ

5.0

(1人の評価)

徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、脆弱性発見後の適切な対策まで SQL Serverが狙われるには理由がある SQLインジェクションを利用したWebサイトの改ざん事件が頻発している。標的となったサイトの多くがIIS(ASP)とSQL Serverの組み合わせを利用していることから、今回の攻撃がIISやSQL Serverの脆弱性を利用したものだと言う報道があるらしい。これに対して、マイクロソフトが反論している。...

コメント数 (2)
クリップ数 (1)
アクセス数 (1526)

カテゴリ: データベース / SQL Server

タグ: security

kiske
投稿時間:2008/06/23 12:38

SQL Serverは大抵の言語から複文が利用できるため、狙われやすいというお話。

コメントする

コメント
外部サイトでの評判

nogutetu 投稿時間:2008/10/16 14:17

SQLインジェクションってDBの問題ではなく、プログラムのコーディングの問題ですよね。
ユーザリクエスト文字列をパラメタライズドクエリー使わず、そのままDBに投げるのが悪い。


コピペする ブログに貼る
string query = string.format( "select * from account where password ='{0}'", this.TextBoxPassword.Text );

上みたいなコード書いてるアプリケーションあったらインジェクションされて当然。

1点(3人の評価)

kiske 投稿時間:2008/10/17 10:50

確かに仰ってる通りなんですが元記事の焦点はそこではなく、
DBごとに内部実装は異なっていて複文が扱えるSQL Serverは特に注意が必要ですよ、という話かと思います。

1点(1人の評価)

この記事について話をしましょう (ログインが必要です)

こちらの記事もどうぞ

カタログ

Microsoft SQL Server	Microsoft SQL Server 2008 Enterprise Microsoft SQL Server 2008 Standard Microsoft SQL Server 2008 Workgroup Microsoft SQL Server 2008 Web Microsoft SQL Server 2008 Developer Microsoft SQL Server 2008 Express Microsoft SQL Server 2005 Express Microsoft SQL Server 2005 Workgroup Microsoft SQL Server 2005 Standard Microsoft SQL Server 2005 Enterprise Microsoft SQL Server 2000 Enterprise Edition Microsoft SQL Server 2000 Workgroup Edition Microsoft SQL Server 2000 Personal Edition Microsoft SQL Server 2000 Developer Edition Microsoft SQL Server 2000 Desktop Engine Edition Microsoft SQL Server 2000 Enterprise Evaluation Edition Microsoft SQL Server 2000 Standard Edition

Microsoft SQL Server

徳丸浩の日記 - 複文が利用できるデータベースの調査 - ... ノウハウ(Tips)

徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある

こちらの記事もどうぞ

カタログ

カテゴリ

特集

ノウハウランキング

okyuu.com は、カカクコムグループです。