Linuxからアホ話まで、何でもありでござる

2005年06月01日

SQLインジェクションってなに?

[おいらのパソコンに関わる話]
さて、価格.comのセキュリティで話題になったSQLインジェクションですが、今回のがんばれ!!ゲイツ君column245でわかりやすい説明がなされていますね。
氏名などの情報はそのWebサイトに繋がっている保管庫に格納されて、必要な時にいつでも取り出せるように管理されています。
で、その情報を取り出すためには、「開けゴマ!」みたいなある決まった呪文(SQL)を唱える必要があるのですが、逆に言うとこの呪文を唱えれば好きなときに好きなデータを取り出したり、書き換えたりすることができるというわけです。

対策を立てていないところでこの呪文をうまく操作すれば、やったば!!みたいな情報が無尽蔵に取り出せるわけですね。
なので、今回はサイトも書き換えられてしまった以上、メールアドレスだけ漏れたともちょっと思えないのですけれどね。価格.comには外部のセキュリティ監査のベンダーも入って、メールアドレスしか漏洩していない、と報告を出しているようなのですが、SQLインジェクションを発見できなかったベンダーがまともな調査ができているとも思えませんから、あまり信用しない方が良いかと思いますよ(:-P。

ということです。

おっしゃるとおりだと思いますよ。メールアドレスだけ流出したなんて考えられませんもの。メールアドレスが取れるなら、他の情報も取られていると思って間違いないと思います。いやぁ、すぐやられちゃうWindowsサーバって怖いですね、ってWindowsサーバに限った話じゃないんですが…

ブログランキング・にほんブログ村へ
posted by oyajiman at 2005年06月01日 01:50:00



コメント

コメントはありません

トラックバック

トラックバック
このエントリにトラックバックはありません
このトラックバックURLを使ってこの記事にトラックバックを送ることができます。 もしあなたのブログがトラックバック送信に対応していない場合にはこちらのフォームからトラックバックを送信することができます。.

コメントする