クッキーに隠されたSQLインジェクション、対策は? - @IT ノウハウ(Tips)  

こんにちは ゲスト さん | ログイン | ヘルプ | okyuu.com Feed Feed

総合トップ / ノウハウ / セキュリティ ノウハウ / 脆弱性 ノウハウ / クッキーに隠されたSQLインジェクション、対策は? - @IT
okyuu.comは、2010年9月21日正午をもってサービス終了とさせていただきます。また、2010年6月21日正午以降の投稿およびコメント、回答ができなくなりますのでご注意ください。

ノウハウ

Feed
0

0人
の評価

クッキーに隠されたSQLインジェクション、対策は? - @IT

008

セキュリティアナリストコラム 川口洋のセキュリティ・プライベート・アイズ(8) クッキーに隠されたSQLインジェクション、 対策は? 川口 洋 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP 2008/10/20 皆さん、こんにちは、川口です。先月、私は遅めの夏休みを取り、妻と草津温泉に行ってのんびりとした休日を過ごしてきました。温泉に入って、おいしい料理を食べて、お酒を飲んでまったりしていました。そんな夏休み明けを待ち構えていたかのようなイン...

  • コメント数 (1)
  • クリップ数 (0)
  • アクセス数 (2236) 


# CookieにSQLインジェクション攻撃が埋め込まれている
# 攻撃自体にIDS/IPS/WAFの検知機能を回避する手法が取られているため、IDS/IPS/WAFを設置していても検知・遮断されないケースがある
これをひとことで表現すると「IDS/IPS/WAFのようなセキュリティ機器を回避するためだけに攻撃手法が進化した」のです。




脆弱なアプリにならないように自戒しますangry

0

0人
の評価
また新たな手法のようですね。

しかし、クラッカーは、どこまで行ってもセキュリティ専門家よりもクリエイティブですねase01

UTMに頼り切ったセキュリティ設計は危険:ITpro 次のノウハウ >>

おススメのノウハウ

3
1
コメント
UTMに頼り切ったセキュリティ設計は危険:ITpro
(2008/10/14 13:54) by fujiyoshisyouta
0
0
コメント
文字のアウトラインを表示する--FirefoxとSafariのCSS対応
(2008/07/02 12:17) by phantom
5
0
コメント
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
(2009/03/04 10:26) by paparika
0
0
コメント
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書
(2009/03/30 16:05) by radish
0
0
コメント
OSコマンドインジェクションを防ぐルールを作成する
(2008/06/06 01:06) by life_with_database
0
0
コメント
ポートスキャン、私はこう考える
(2008/06/16 01:15) by phantom
7
0
コメント
ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記
(2008/11/07 17:02) by kiske
3
0
コメント
ラック,SQLインジェクション攻撃の現状と対策をまとめたレポートを公開:ITpro
(2008/08/07 00:17) by asparagus
1
0
コメント
正体が見えた「クリックジャッキング」:ITpro
(2009/01/09 07:01) by zazen_boys
0
1
コメント
mod_securityでWebサーバを守る (第1回)
(2008/06/05 01:47) by phantom
Link_icon_topページトップへ
guest_photo
  

カテゴリ

Rb_back_iconノウハウトップへ戻る
Rb_back_iconセキュリティ  (99)
Rb_list_icon総合 脆弱性 カテゴリへ
Rb_list_iconQ&A 脆弱性 カテゴリへ 
Rb_list_iconニュース 脆弱性 カテゴリへ 

特集

[重要]okyuu.comサービス終了のお知らせ [重要]okyuu.comサービス終了のお知らせ
okyuu.comは、2010年9月21日正午をもってサービス終了とさせていただきます。また、2010年6月21日正午以降の投稿およびコメント、回答ができなくなりますのでご注意ください。
フリーターからGoogle API Expertへ 松尾貴史さん フリーターからGoogle API Expertへ 松尾貴史さん
音楽で独立することを目指していた松尾貴史さん。いまではGoogle App Engine API Expertとして活躍するエンジニアだ。
ソフトウェアを公開するのが楽しい 岡野真也さん ソフトウェアを公開するのが楽しい 岡野真也さん
ソフトウェアを公開するのが面白くてたまらない。作っては公開というのが彼のやり方だが、若きエンジニアにとってはそれくらいがちょうどいいのかもしれない。
コンピュータは世界を広げる実験道具 西尾泰和さん コンピュータは世界を広げる実験道具 西尾泰和さん
プログラミング、サイエンス、デザイン マルチな彼にとって、コンピュータは未知の世界を広げるための道具であることに変わりはない。今後の展開が楽しみだ。
理想のOS開発に人生を賭ける 川合秀実さん 理想のOS開発に人生を賭ける 川合秀実さん
OSASK計画代表の川合さんは、人生の1秒を惜しみながら独自OSの開発にいそしむ。
「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん 「楽しむ」それが豊かなエンジニアになるコツ 坂井恵さん
日本MySQLユーザ会の副代表を務める坂井恵さん。技術の現場で会社運営に興味を持ち、独立起業の道を選んだエンジニアだ。
夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん 夢はエンジニアに強い影響を与える本を書くこと 松信嘉範さん
ソニーの情報シスから日本を代表するMySQLのコンサルタントに。彼が魅せられたオープンソースの世界とは?
お友達紹介機能をつかってポイントGET! お友達紹介機能をつかってポイントGET!
お友達を招待してみんなでokyuuポイントをGETしよう!
オープンソースの活動「すごく、いい」 前坂徹さん オープンソースの活動「すごく、いい」 前坂徹さん
オープンソースプロジェクトで活躍する若き新鋭。コミュニティ活動の感想を尋ねると「すごく、いい」と満面の笑み。
コンピュータは創造力を刺激する 奥一穂さん コンピュータは創造力を刺激する 奥一穂さん
天才エンジニアとしての国際的な評価も高い奥一穂さん。世間からのスマートだとの評価には「自分は広く浅くだから」とさらり。
25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん 25歳からプログラミング「泣きながら覚えた」 庄司嘉織さん
25歳でプログラマーに転向した。いまやjava-jaを立ち上げるなど精力的なエンジニアだ。
Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん Rails勉強会@東京は“キャスト”の気持ちで 諸橋恭介さん
大学時代、偶然手にしたMacが諸橋さんにITエンジニアの道を開いた。
"シャイモード"機能を活用しよう! "シャイモード"機能を活用しよう!
こんな質問してもいいのかな?そんなときは"シャイモード"で投稿!
RX-7とサーバ運用の意外な共通点 並河祐貴さん RX-7とサーバ運用の意外な共通点 並河祐貴さん
Amazon EC2を巧みに使いこなすTIS/SonicGardenの並河さん。「腕一本で食べていきたい」とITエンジニアを目指した。
「ブラックボックスは不安でしょ」 ひろせまさあきさん 「ブラックボックスは不安でしょ」 ひろせまさあきさん
エンジニアが楽しくて仕方がない。オープンソースを組み合わせてシステムを作り上げるのが彼の矜持のようだ。
Perlの地位向上を胸に 牧大輔さん Perlの地位向上を胸に 牧大輔さん
endeworksの牧大輔さんは社団法人JPAを立ち上げ、Perlの企業利用を促進したいという。
偶然からCTOへ ライブドアCTO池邉智洋さん 偶然からCTOへ ライブドアCTO池邉智洋さん
池邉智洋さんはライブドアCTOの技術メンバーを先頭で率いる。「まずはやって見せることも大事」と語る。