※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
「MySQL.com」のWebサイトがハッキングされ、ユーザーが同サイトを見ただけでマルウェアに感染する状態になっていた。 セキュリティ企業の米Armorize Technologiesは9月26日(米国時間)、オープンソースのデータベース管理システム「MySQL.com」のWebサイトがハッキングされ、マルウェアが仕込まれているのを見つけたと伝えた。 同社によれば、ユーザーがMySQL.comのWebサイトを見ると不正なコードが読み込まれて外部のWebサイトにリダイレクトされ、マルウェアに感染する状態になっていたという。マルウェアはWebブラウザやFlash、Javaなどのプラグインの脆弱性を突いてインストールされ、ユーザーがクリックなどの操作をしなくても、MySQL.comのWebサイトを見ただけで知らないうちに感染する恐れがある。 一方、セキュリティ企業のTrend Microは同日
はじめに Apache HTTPサーバーのセキュリティは、少なくともLinuxやその他の適切なUnix系オペレーティングシステムで実行している限りにおいては、信頼できます。しかし、今や平凡な静的な読み取り専用Webサイトは絶滅危惧種となりました。最近では、LAMPと呼ばれる一連の技術(つまりLinux、Apache/Lighttpd、MySQL/PostgreSQL/SQLite、Python/PHP/Perl/Ruby)を使って動的Webサイトを提供するのが一般的になっています。これは進歩であるとも、ないとも言えます。 私個人は、平凡な静的HTMLの日々が好きでした。今と比べてブラウザのHTMLサポートやサイトの質に疑問が多かったとはいえ、少なくとも、エラーを吐き散らす役立たずの巨大なスクリプトを実行して私のコンピュータを過労に追い込んだり、ときには完全に固まらせてしまうことはありません
テクノロジーを基盤とした組織において最も重要な資産は、データベースに含まれている顧客や製品の情報であるのが普通だ。そのため、そのような組織でのデータベース管理におけるクリティカルな部分では、外部からの攻撃やハードウェア、ソフトウェアの障害からデータベースを保護することが必要となる。 多くの場合、ハードウェアやソフトウェアの障害は、データのバックアップを正しく管理することで対処できる。多くのデータベースにはその作業すべてを自動で行うツールが用意されているので、この種の作業は比較的簡単に行うことができ、エラーも発生しにくい。しかしながら、そう単純に行かないのはパズルの2つ目、つまり、外部からハッカーがシステムに侵入するのを防ぎ、システム内部に含まれている情報が盗まれたり破壊されたりしないようにすることだ。残念ながら、この問題を自動的に解決するような方法はないのが普通である。システム管理者である
※ 画像は公式サイトデモより。 DBを使ったWebアプリケーションが当たり前になり、その重要性は増す一方だ。万一、データが消失するような事態になったら、ビジネスに与える影響は計り知れない。 SQLインジェクションはDBに対する攻撃の一つだ。システムにバグがなければ良いが、それは起こってみてからしか分からない。予防措置をしいておこう。 今回紹介するオープンソース・ソフトウェアはGreenSQL、SQLインジェクションを防ぐDB用ファイアウォールだ。 GreenSQLはDBとWebサーバとのプロキシとして動作する。そして、その間で行われるSQL文を監視し、問題があるSQLを予め弾いてくれる。 対応しているDBはMySQLのみになる。ただ防ぐだけではなく、危ないものに対してはウォーニングログを残しておいてくれる。ログをチェックする事で、Webアプリケーションの強化も実施できる。 セキュリティ対策
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く