SQLインジェクション大規模発生の説明会

ラックが、3月中旬に報道された国内におけるSQLインジェクションの大規模インシデントに関して説明会をしたという記事。
そのとき日本で何が起きたのか?-3月のWeb改ざん事例をラックが説明
SQLインジェクション→Webページの中に不正プログラムを埋め込む=Webサイトの改ざんだ
→ 一般ユーザーがアクセスすると、ユーザーの気付かぬうちに悪意のあるサーバーに転送され、不正なプログラム(fuckjp.jsなど)がダウンロードされてしまう状況だった。

対策としては、サーバー管理者はWebアプリケーションから接続されるDBをすべて調査して、www.2117966.netという文字列が含まれていないかを調べ

やっぱりクエリをログしておくんだな。

コメントを残す

メールアドレスが公開されることはありません。