Date: Thu, 24 Nov 2005 20:08:59 +0900
From: "Akira Horikawa" <who@example.ne.jp>
メーリングリスト
参加者各位様
ワコールオンラインショッピングの不正アクセス事件でも、
その手口は、SQLインジェクション攻撃だったようです。
ワコールオンラインショッピング
http://www.e-shop.wacoal.co.jp/
お客様情報の流出に関するお詫びとご説明
http://www.wacoal.co.jp/owabi0511/
NECネクサソリューションズの説明
http://www.nec-nexs.com/news/info/051124.html
手口はまたもやSQLインジェクション,ワコールオンラインショップへの
不正アクセス
http://itpro.nikkeibp.co.jp/article/NEWS/20051122/224979/
SQLインジェクション攻撃は、Webのフォーム上から渡される
パラメータの内容をチェックせずに、そのままSQL文を動的に
組み立てる場合などに発生します。
初心者向け書籍等でSQL文を勉強する場合、渡されるパラメータの
内容を正しくチェックせずに、そのまま使ってしまう例題等が
掲載されます。
またWebページ等で解説される学習向けのSQL文の内容も
同様です。
このような初心者向け解説記事通りにSQL文を作成すると、
インジェクション攻撃を受けることになります。
Webのフォームから渡されるパラメータは、間違っていることを
前提に、様々な検査を行なってからSQL文に組み込んでください。
特に今回の日経BPの報道で気になるのは、一度、
SQLインジェクション攻撃の対策をしているにも関らずそれに
対策漏れがあったということです。
SQLServerやMSDEで、安直に対策を行なう場合は、
sp_executesql ストアドプロシージャ
を活用して下さい。
本来は詳細なパラメータチェックをしてからSQL文を組み立てるのですが
パラメータチェック等に費用や時間を掛けたくないときは、このストアド
プロシージャに書き換えることも1つの方法です。
SQL インジェクション
http://www.horikawa.ne.jp/msde/support/injection/injection-index.html
Webと連携して動くデータベースのSQL文の点検をお願いします。
------------------------------------
Epata-IT/日本技術ソフト開発
堀川 明 (Akira Horikawa)
11月24日(木曜日) 20時02分記
mailto:who@example.ne.jp
http://www.horikawa.ne.jp/msde/
| [MSDE/SQLServerに関して、今、どんなことにお困りですか?] |
| よろしければお困りの内容を、電子メールで教えて下さい。 |
|
質問を電子メールで作成する
|
[ウィンドを閉じる][MSDE/SQLServer FAQ ][MSDE / MSDE2000 技術サポート情報一覧]
|
