2008/10/06

Cookie を利用した SQLインジェクション攻撃が出てきているらしい


CookieにSQLインジェクションを埋め込む新手の手口、ラックが緊急注意喚起

LACによると、Cookie に不正スクリプトを埋め込むことで、Webサーバのログに痕跡を残さず、また一部のIDS/IPSをすり抜ける SQLインジェクション攻撃が出てきているとのこと。

Webアプリケーションの防御方法は変わらないと思うのですが、ログにも残らないのはやっかいですね。。。

LACの公開情報は以下よりどうぞ。

 

(2008.10.06追記)

IIS6.0/7.0では、ログの出力設定を変えると Cookie もログ出力できるようです。

 

■関連エントリー

 


スポンサーリンク


このエントリーをはてなブックマークに追加




Twitter ではブログにはない、いろんな情報を発信しています。


コメント

コメントを書く



プロフィール

  • 名前:fnya
    経歴:
    SE としての経験は15年以上。様々な言語と環境で業務系システム開発を行い、セキュリティ対策などもしていました。現在は趣味SE。

    Twitter では、ブログでは取り上げない情報も公開しています。


    ブログについて

    このブログは、IT、スマートフォン、タブレット、システム開発などに関するさまざまな話題を取り上げたり、雑感などをつづっています。

    現在、Enty で支援を受け付けています。もしよければご支援ください。



    >>ブログ詳細
    >>自作ツール
    >>運営サイト
    >>Windows 10 まとめ

    Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから