IPAが提供しているとってもわかりやすい資料です。

全105ページで、ケーススタディとして以下の3つの脅威に対して、原因と対策が解説されています。

１．SQLインジェクション
２．クロスサイト・スクリプティング
３．DNS経由の不正アクセス

　↓↓↓
2008年度情報セキュリティセミナー 技術コース専門編 (PDF)

投稿者: さわー 日時: 16:56 | パーマリンク | コメント (0) | トラックバック (0)

株式会社ラックの Japan Security Operation Center（JSOC）から、SQLインジェクション 緊急レポートがリリースされている。

2005年5月に起きた価格.com(カカクコム)不正アクセス事件の詳細は公表されていないが、SQLインジェクションによる不正アクセスを受けていたのではないかといわれているし、同時期に一時閉鎖した「OZmall」を運営するスターツ出版社は、この手法で不正アクセス被害に遭ったことを公表している

JSOCのSQLインジェクション 緊急レポートによると、2005年後半からSQLインジェクションの攻撃件数が激増していて、中国からの攻撃が大部分を占めているという。

中国語のサイトでSQLインジェクション攻撃を実行するツールが多数配布されていることが、その傾向を増長しているようだ。

攻撃のターゲットは、ASP(Active Server Pages)を利用しているシステムが52％を占め、これはファイルの拡張子から IIS と SQL Server の組み合わせを限定しやすいことと、攻撃ツールの多くがASPを対象としていることを指摘している。

詳しくはこちらの【SQLインジェクション緊急レポート】を見ていただきたい。

投稿者: さわー 日時: 13:43 | パーマリンク