ネコ情報
ネコを各種ブログ(Blog)から一括検索します。
トップ > sql injection
Amazon Books 検索結果: sql injectionの検索結果
検索結果が見付りませんでした!
Google ブログ(Blog) 検索: sql injectionの検索結果
■ k-MT: SCE、PSPの最新ファームウェア Ver.5.02を公開 -- [ PCニュース ]
Fujisan.co.jpがサイト改竄、SQLインジェクションでウイルス仕込まれる. ●, オンラインゲームサイト「Lievo」が改竄、ウイルス仕込まれる. ●, マイクロソフト、5月の月例パッチは“緊急”3件を含む4件を公開予定 ...
■ k-MT: 「Thunderbird 2.0.0.18」公開、7件の脆弱性を修正 -- [ PC ...
フェンリル、強制終了の問題や各種不具合を修正した「Sleipnir」v2.7.1. ●, 「Lhaplus」に新たな脆弱性、ZOO形式の展開時にバッファオーバーフロー. ●, SQLインジェクション攻撃が活発化、各社がWebサイト改竄被害に注意喚起 ...
■ URL入れると危険か安全か判定、セキュアブレインが無料解析サイト ...
セキュアブレインによると、最近ではSQLインジェクション攻撃で正規のWebサイトが改ざんされるなど、いつも利用しているWebサイトが突然悪質サイトに変わることもあるという。また、セキュリティソフトをすり抜ける新種のマルウェアも増加しているとして ...
■ 復旧のめどは立たず:徳島県県土整備部のHP、外部からの不正攻撃で運用 ...
ASPで書かれたサイトのようなので、SQLインジェクションかな? 徳島県県土整備部ホームページが外部から不正な攻撃を受け、運用を一時停止している。 徳島県県土整備部県土整備政策課によると、外部からの攻撃を確認したのは11月13日。 ...
■ はてなブックマーク - HiromitsuTakagiのブックマーク / 2008年11月21日
... PCIDSS · PDF · Perl · PGP · phishing · PHP · PHP小僧 · PKI · PlaceEngine · QRコード · RCIS · Referer · Refererは危険脳 · RFID · Ruby · Safari · sameorigin · Share · SMIME · spam · SQL · SQLインジェクション · SSL · SSL VPN · Suica ...
■ いぬいぬいぬいぬのこのこのこのこ - インスタンスが熱い、 SQL ...
間違いや、勘違いについての突っ込みは、凹みますが、歓迎します詳しくはSQLインジェクションでググってください。 後半はコンボが切れないかビクビクしてました(^o^;) 流行にうとい私の身内でさえ気になっているのですからインスタンス冬休み最終の ...
■ 高橋晶子のセキュリティ漂流記 > BlackHat Japan 2008 : ITmedia ...
例えば、同じSQLインジェクションでも、以前はDBからデータを抜き出すことが目的だったのが、最近ではクライアントのデータを抜き出すことを目的としていることや、IDS/IPSをバイパスするためにどのようなリクエストが細工されているかなどについて解説 ...
http://blogs.itmedia.co.jp/akikot/2008/11/blackhat-japan.html
■ mgkhovrz ゴルフダイジェスト ドラコン
Webページではないが,ゴルフダイジェストオンラインもSQLインジェクション攻撃によって,メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性についてはどうか。筆者がWebアプリケーションのぜい弱性診断を行っている経験 ...
■ いぬいぬいぬいぬのこのこのこのこ - 厚生労働省。 新型インフルエンザ
Main | インスタンスが熱い、 SQLインジェクション対策 ». 2008/11/21. 「厚生労働省。 新型インフルエンザ」 ニッキス · ダミエ 財布 折 離れへんかった。 ダウンローダ 最新 鍋 流行したら日本国内だけでも最悪64万人が死亡すると言われてい欲しいもの ...
■ JUGEMの自作テンプレートを配布 Show-U | PHP ファイルの中身を空にする
... [MySQL] SQLインジェクション (1); [MySQL] バックアップ・復元 (2); [MySQL] テーブル (2); [MySQL] MySQL (4); [その他のサーバー] Postfix (1); [その他のサーバー] BIND (2); [その他のサーバー] Samba (1); [その他のサーバー] NFS (2) ...
Yahoo! ブログ(Blog) 検索: sql injectionの検索結果
■ [個人的][security] Webセキュリティの個人的なメモ - 2008年11月20日 0時0分
... ハイジャック(session hijack) もろもろ SQL Injection ( SQL インジェクション) データの中にこっそり SQL を書いて、こっそり入れた SQL 文の直前に「'」とかでエスケープして、こっそり入れた SQL 文を実行させますよっと OS Command Injection ...
■ [Typenist]PHPのセキュリティ - 2008年11月20日 0時0分
... query ( $ sql ) ; if ( DB :: isError ( $ result )) { die ( $ result -> getMessage ()) ; } // 出力は省略 // SQL Injection function q ( $ str = '' ) { if ( is_array ( $ str )) { $ q = function_exists ( " q " ) ? " q " : array ( &$ this ...
■ “Penetration Testing Ninjitsu” Webcast Series with Ed ... - 2008年11月13日 0時0分
... SANSによる例のWPA/WPA2を破る話のウェブキャスト。 ■ 第15回NT-Committee2九州勉強会 http://www.hidebohz.com/Meeting/20081220.htm ■ MultiInjector v0.3 Released - Mass SQL Injection and Beyond ■ .NET Framework Rootkits ppt ...
■ セキュリティホール情報<2008/11/07> - 2008年11月7日 15時30分
... この問題が悪用されると、リモートの攻撃者にHTML injection攻撃を受ける可能性がある。 2008/11/07 登録 ... 細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると ...
■ [IDEA] Language Injectionオモロイ - 2008年11月6日 22時9分
... コードがあったとして,メソッド:query()の第一 引数 には SQL 文を記述したい。な~んて思ったとする。そんじゃま,ってんで"Settings->Language Injection"で,こんなふうに「 引数 sql は, SQL 文( SQLite )です」と宣言するのだ。 あとは,この通り ...
■ [IDEA] Language Injectionオモロイ - 2008年11月6日 22時9分
... コードがあったとして,メソッド:query()の第一引数にはSQL文を記述したい。な~んて思ったとする。そんじゃま,ってんで"Settings->Language Injection"で,こんなふうに「引数sqlは,SQL文(SQLite)です」と宣言するのだ。 あとは,この通り(事前に ...
■ [IT][セキュリティ]Urlscan Filter v3.1が公開されています ... - 2008年11月4日 14時32分
... (@_@) a threadless kite - 糸の切れた凧(2008-11-04) 関連 URL Microsoft Security Advisory (954462): Rise in SQL Injection Attacks Exploiting Unverified User Data Input Permalink | コメント(0) | 14:32 実践SNMP教科書―ネットワーク管理 ...
■ セキュリティホール情報<2008/10/30> - 2008年10月30日 15時30分
... information disclosure http://xforce.iss.net/xforce/xfdb/46180 Secunia - Advisories 2008/10/30 登録 SiteEngine SQL Injection and Information Disclosure Vulnerabilities http://secunia.com/advisories/32404 ▽elkagroup Image ...
■ [わんくま同盟 名古屋勉強会] 第4回 ソースコードの解説 - 2008年10月26日 0時0分
... SqlAcc プロジェクト SQL Server Accessor です。 このサンプルでは実装してないのですが、 SQL Server にアクセスする役割を持たせてある ... セッター・インジェクション ( Setter Injection ) と呼びます。 インジェクションの方式に ...
http://bluewatersoft.cocolog-nifty.com/blog/2008/10/4-c1d2.html
■ Links Roundup - 2008年10月23日 21時27分
... マジレスすると、コンピュータを使ったデスクワークなら1時間に10分の休憩が認められている Massive SQL Injection Attacks: The Chinese Way こりゃ便利だ Leave a Reply Name はてなブックマーク trombik.mine.nu:cherry の注目エントリー "Most people ...
http://trombik.mine.nu/~cherry/w/index.php/2008/10/23/1426/links-roundup-442
Technorati ブログ(Blog) 検索: sql injectionの検索結果
■ [セキュリティ]いくつか雑に突っ込み - 2008年10月5日 17時0分
■[セキュリティ]いくつか雑に突っ込み 色々締め切りに追われてるので orz 雑にざっくりとmemo。 Cookieを使用したSQLインジェクション http://www.lac.co.jp/info/rrics_report/csl20081002.html http://slashdot.jp/security/08/10/06/063250.shtml えと…「エスケープ処理は出口で用途に合わせて」って原則を守れば、それがpostから入ろうがgetからだろうがcookieからだろうが関係ないはずなのですが。 如何に原則が無視されているかがよくわかります orz 「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明 http://itpro.nikkeibp.co.jp/article/NEWS/20081006/316229/ ………で? ちゃんと「躾けられたエスケープ処理」してれば防げると思うのですが? それとも「出口で適切なエスケープ処理をしてもかいくぐられる」injectionだったんでしょうか?
■ WordPressオタが非WordPressオタの彼女にplugin世界を軽く紹介するための10本 - 2008年8月4日 2時33分
出遅れ感と言うより今更感が濃厚に漂っておるけど、ほれ、お約束だし。元ネタは アニオタが非オタの彼女にアニメ世界を軽く紹介するための10本 のアレね。ネタ性を優先したので、WordPress かどうかに関係ない話題の方が中心になってる気もしなくもない。 ——– まあ、どのくらいの数の WordPress オタがそういう彼女をゲットできるかは別にして、「WordPress オタではまったくないんだが、しかし自分の WordPress 趣味を肯定的に黙認してくれて、その上で全く知らない WordPress の世界とはなんなのか、ちょっとだけ好奇心持ってる」ような、WordPress オタの都合のいい妄想の中に出てきそうな彼女に、WordPress のことを紹介するために見せるべき plugin 10本を選んでみたいのだけれど。 (要は「脱オタクファッションガイド」の正反対版だな。彼女に WordPress を布教するのではなく、相互XFNリンクの入口として) あくまで「入口」なので、PHP の入れ直しを伴う要 PHP5 の plugin は避けたい。 できれば、PEAR が必要な
■ SQLインジェクションと受動的(誘導型)攻撃 - 2008年7月7日 18時4分
Webブラウザ上で操作可能なWebアプリケーションの脆弱性を狙った、いわゆるSQLインジェクション攻撃が仕掛けられているというニュースが頻繁に報じられている。 特に、2008年の3月以降はこの傾向が顕著であり、独立行政法人 情報処理推進機構(IPA)も2008年5月のコンピュータウイルス・不正アクセスの届出状況の中で、SQLインジェクションによる不正アクセスが多発していると注意を呼びかけている。 ・コンピュータウイルス・不正アクセスの届出状況[5月分]について(IPAのサイト) 今回はこの、SQLインジェクションの攻撃が多様化、巧妙化してきている点に着目したい。端的にいうなら、その標的が「サーバーへの攻撃」から「サーバーを経由したユーザーへの攻撃」に変質しつつあるということである。 SQLインジェクションとは何か SQLインジェクションとは、SQLを使って構築されたデータベースに対し、SQLで書いた命令文(コマンド)を使って不正にデータベースにアクセスする攻撃手法のこと。そのような不正なSQL文を素通りさせてしまう脆弱性を指すこともある。 SQLで構築されたデータベー
■ [プログラミング][我留流]「最低限のセキュリティ」ってなんぞや? に関する考察 - 2008年6月28日 10時13分
■[プログラミング][我留流]「最低限のセキュリティ」ってなんぞや? に関する考察 これもまたちとお題があがってたもので。んでもってやっぱり超ドラフト。 とりあえず… 基本的なHTMLエスケープ処理くらいやろうよ 単純なタグが入力出来るような基本的なXSSは論外です 基本的なSQLエスケープ処理くらいやろうよ 単純なSQL-Injectionなんて以下略 ディレクトリトラバーサルくらい対応しようよ 以下略 ドが付くほど最低限としてこんなもんかしらん? まだまだ山盛り突っ込みたいんだけど…正直、上述が「きっちり出来てる」現場のほうが少ないし orz
■ [疑問]SQLインジェクションとXSS(クロスサイトスクリプティング)について - 2008年6月24日 17時24分
SQLインジェクションとXSS(クロスサイトスクリプティング)について 疑問 俺の認識が間違ってるのかなぁ。 SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説 - page2 - builder by ZDNet Japan これXSSだと思うんだけど、SQLインジェクションって書いてある。これだけじゃなくて、他のサイトや、会社の人も俺はXSSだと思ってることをSQLインジェクションって言うんだよね。 wikipediaで調べてみると、下記のように書いてある。 SQLインジェクション SQLインジェクション(英:SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のこと。 SQLに別のSQL文を「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」とも呼ばれる。 SQLインジェクション - Wikipedia XSS
■ MySQL と multi-statement SQL injection - 2008年6月22日 19時39分
■ MySQL と multi-statement SQL injection 徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある の件だけど、MySQL のプロトコルは multi-statement をサポートしている。(参考: MySQL Internals ClientServer Protocol - MySQL Forge Wiki) じゃあドライバレベルでどうなっているか、という話になるけど、Perl (DBD::mysql) だと、 mysql_multi_statements As of MySQL 4.1, support for multiple statements seperated by a semicolon (;) may be enabled by using this option. Enabling this option may cause problems if server-side prepared statements are also enabled. DBD::my
■ セキュリティ デベロップメント “ライフサイクル”:裏側と表側 - 2008年6月18日 20時41分
小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの? ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。 といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。 そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。 最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。
http://blogs.technet.com/jpsecurity/archive/2008/06/19/3074088.aspx
■ [セキュリティ]そういえば… - 2008年5月24日 9時29分
■[セキュリティ]そういえば… 先日あった、ケビンほにゃらら氏によるセミナー。いえセミナーがどうこう言うわけではないのですが。 申し込み用のWebがあってたわけですよ。まぁほぼ何も考えずに、とりあえず一端、「<A href="">test</A>(本当は全部半角ね)」とか入れてみるわけですよ。 ………XSSバリバリに存在してるってどうなのよ orz いえまぁご連絡は差し上げたんですがね。そのPageの多分担当会社様と思われるメールに対して。 善処させて頂きたいと存じます。ありがとうございます。 という素敵に簡素なメールを頂戴した後…少なくとも一週間後には「XSS残りっぱなし」だったなぁとかいう記憶が、ええ。 ちなみに。同じ会社さんがやってる「別のPage」でそのまんま「今でも」XSSが残りっぱである事を考えると、きっと直前まで以下略だったのでしょう。多分。 いくら「ソーシャルハッキング」な方のイベントとは言っても。こんな「一年生坊主がしでかしたレベル」のホールが残りまくそってのは如何なモノかと思うんですがどんなもんなんですかねぇ。 っつか。 エス
■ YAPC::Asia 2008 Tokyoに行ってきました - 2008年5月18日 8時16分
YAPC::Asia 2008 Tokyoに行ってきました 日本最大、というか世界最大級のPerlイベント、「YAPC::Asia Tokyo」が、2008.5.16〜17に開かれました。2006や2007もすごく面白かったので、今回も参加してきました。 ただし、今回は仕事の合間にこっそりなので、限られたセッションしか参加できませんでした。それでもえらく楽しかったなぁ。あと、1日目は会場に行けなかったけど、ustreamでちょろちょろ聴いていました。というわけで、参加したセッションのメモ。 Moose(Yuval Kogman) Perl 5でOOPを普通のOOPっぽく書けるようにする仕組み「Moose」のセッション。Mooseは「まるごとPerl!」で名前を知りました。bashでOOPっぽい書き方をしてみたりする人間としてはwktkなのですが、Moose自体は「おもちゃではなく、実用品」ということで。 Mooseのいいところは、自分でOOPの仕組みを書くような「退屈なこと」を減らせること。アクセッサとかコンストラクタとかValidationとかを自分で書かなくても
■ YAPC::Asia 2008 Tokyoに行ってきました - 2008年5月18日 8時16分
YAPC::Asia 2008 Tokyoに行ってきました 日本最大、というか世界最大級のPerlイベント、「YAPC::Asia Tokyo」が、2008.5.16〜17に開かれました。2006や2007もすごく面白かったので、今回も参加してきました。 ただし、今回は仕事の合間にこっそりなので、限られたセッションしか参加できませんでした。それでもえらく楽しかったなぁ。あと、1日目は会場に行けなかったけど、ustreamでちょろちょろ聴いていました。というわけで、参加したセッションのメモ。 Moose(Yuval Kogman) Perl 5でOOPを普通のOOPっぽく書けるようにする仕組み「Moose」のセッション。Mooseは「まるごとPerl!」で名前を知りました。bashでOOPっぽい書き方をしてみたりする人間としてはwktkなのですが、Moose自体は「おもちゃではなく、実用品」ということで。 Mooseのいいところは、自分でOOPの仕組みを書くような「退屈なこと」を減らせること。アクセッサとかコンストラクタとかValidationとかを自分で書かなくても
■ 最近の Botnet 動向 - 2008年5月16日 4時10分
最近の botnet の話が面白いので解説を書こうと書いたのが3月ぐらいだったんですが、世の中のセキュリティ業界の話は輪をかけて面白過ぎる状態になってます。不謹慎かもしれんけど、なぜにこーセキュリティや botnet の世界にはこうも心躍る話が溢れておるのぢゃろうな。 一昨日 slashdot.jp に載った 米軍大佐、軍用ボットネットの運用を提唱 という件がまず面白いのですが、そこに至るまでの話もいろいろあるので、まずは botnet とは何かについておさらいから。 botnet てのは、我々の普通の家庭用/会社用の PC が、知らないうちに悪人にクラックされ、いつの間にか悪人の好きなように操られてしまう、しかも PC の持ち主はそのことに全然気付かない、というものを指します。 どうやって悪人にクラックされるかと言うと、ウィルス入りのメールを読むとか、マルウェア入りのWWWページを踏むとか、ファイアウォールの設定ミスを突いて Internet 経由で侵入されるとか、いろいろあります。いずれにせよ、botnet プログラムが PC に仕掛けられ、持ち主のあずかり知らぬところでこ
■ [perl] YAPC 2日目 - 2008年5月15日 19時4分
YAPC 2日目 perl 今日も良い天気! memcached in mixi by kazeburoさん 自分も使ったことがあるので mixi のような大規模使用例の話は楽しみ。 すみません。以下にはいくつかメモ漏れがあります。 memcached って何? さまざまな言語でクライアント API memached の「分散」 クライアントに実装された分散アルゴリズムで分散 get / get_multi get_multi は非常に高速 delete 上書き禁止の秒数指定できる→知らなかった mixi での利用事例 Pentium4 / Pentium D memory 4GB Linux 2.6.x x86_64 ちょっと古めのマシン 専用マシン 100台以上 1台につき 3GB の容量で起動 cache Hit率 94%(安定している値) メモリ使用量 88%(安定している値) memcached のレポートをメールで送られてくるようにしている 監視は nagios (check_tcp) 自社製監視
■ SQLインジェクションによるWEBページの改竄 - 2008年4月27日 20時32分
SQLインジェクションによるWEBページの改竄 Published by y2 at 12:32:24 PM under category [ Web ] 最近、SQLインジェクションを用いたWEBページの改竄が相次いでいるようです.国内のWEBサイトもだいぶやられているようです. No responses yet « Previous Entries Local Search Calendar May 2008 S M T W T F S
■ [セキュリティ]え〜簡単に防御できるのに - 2008年4月24日 17時0分
■[セキュリティ]え〜簡単に防御できるのに SQLインジェクションが止まらない、50万ページ以上が改ざん http://itpro.nikkeibp.co.jp/article/NEWS/20080425/300160/ いやまぁSQL-Injection脆弱性持ってるサイトがそんなにもあるのかねとかいう突っ込みはおいといて。 改ざんされたサイトの種類はさまざま。自治体や企業のサイトだけでなく、政府機関のサイトも改ざんされているという。このため、「信頼できないサイトにはアクセスしない」といったお決まりの対策では被害を防げなくなっている。 NOSCRIPT一発で防御可能なのに〜。…ではだめなのかしらん? 「デフォでJavaScript動かすサイト」ってgoogleくらいだしなぁ。ぶっちゃけ、はてなもデフォでは動かしてないしw そんなに困る話でもないと思うんだけど。
■ WordPress 2.5 の脆弱性について - 2008年4月19日 12時48分
WordPress 2.5 の脆弱性について 2008年04月20日 04:48 / カテゴリー: wordpress いまのところは一件だけ SQL Injection が報告されています。その他にも、コメントの処理でやばいものがあると思うので、コメント表示のテンプレートに手を加えている方はご注意下さい。 » 続きを読む
■ 「サウンドハウス」に見る不正アクセス(セキュリティ) - 2008年4月18日 22時5分
音楽関係のECサイトであるサウンドハウスが今やたらとはやっているSQLインジェクションなどの不正アクセスにより個人情報が流出したという話ですが、 別にECサイトを運営している訳でもないし通販自体しないからあまり関係ないかなと思っていたけど、 サウンドハウスの取締役自ら(一部かも知れませんが)が作成した詳細の報告のPDFが興味深かった。 サウンドハウスニュース http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561 個人情報流出に関する詳細(PDF) http://www.soundhouse.co.jp/news/20080418.pdf この詳細のPDFは経過報告とあわせてセキュリティ対策についての提言など被害者の立場の意見がかなり詳細に載せられています。経過報告は分刻みで乗っていたりと、セキュリティにあまり関心がない人でも一度読んで見ることをオススメ。 結果としてはサーバのセキュリティ強化する以前にサーバ内に不正に置かれていた悪性プログラムが原因になったみたいです。 SQLインジェクション(英:SQL Injec