スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月6日のtwitterセキュリティクラスタ その1

最近流行の攻撃ではMS SQL Serverのセミコロンを忘れても複文が実行できる親切機能が悪用されているらしいですよ。
kaito834: (続き)...セミコロンなく複文が成立するのは、徳丸さんのブログ記事で知りました。「SQL Serverが狙われるにはまだまだ理由がある」http://www.tokumaru.org/d/20080627.html

kaito834: 「Lizamoon」に関するIBM 東京SOCが公開していたクエリストリングを見ていて、SQL における複文の区切りとなるセミコロンがない点が気になった。「/target.asp?id%3D17871+update+【テーブル名】...」...(続く)

kaito834: (続き)...複文を挿入するとしたら、「/target.asp?id%3D17871%3B+update+【テーブル名】...」じゃない?と思った。調べていたら、Microsoft SQL Server だと、セミコロンなくても複文が成立するんですね(x...(続く)

ockeghem: @kaito834 ようやく、セミコロンなしの複文による攻撃が出て来たのですね。僕もIBMさんの解説読んで「ほほう」と思いました

ymzkei5: @kaito834 攻撃者が、http://www.tokumaru.org/d/20080627.html#p01 を読んでいたとか?w

kaito834: @ymzkei5 ほんとにあり得るかもw

kaito834: @ockeghem 攻撃者の一歩先をいってますねw

ockeghem: @kaito834 これで、SQLインジェクション対策で「セミコロンの削除」をうたっていた解説にトドメを刺せることが嬉しいですね


この複文セミコロンなしで使えちゃう攻撃が利用されたのが「LizaMoon」ですが、そのわかりやすい解説はここに。
piyokango: 忘れる前に書いてみました。/大規模インジェクション 「LizaMoon」攻撃について調べてみた。 http://bit.ly/hXEhZ6


徳丸本の後は、「安全なウェブサイトの作り方 改訂第5版」が公開されています。こう安全になるとWebセキュリティの専門家は食えなくなるんじゃないかと心配してしまいますね。
MasafumiNegishi: 「安全なウェブサイトの作り方 改訂第5版」が公開されてます。 http://bit.ly/gkeX59

ockeghem: 『携帯IDの問題をはじめとした、携帯サイト開発上の注意点4項目を追加し、改訂第5版を公開しました』 / 情報処理推進機構:プレス発表:記事:「安全なウェブサイトの作り方 改訂第5版」を公開 http://htn.to/Jqmeko

ockeghem: 「安全なウェブサイトの作り方 改訂第5版」ですが、内容以外にも版の組み方や細かい字句など、多くの改訂が入っています。今までの読者の方にも目を通していただきたいですね http://htn.to/Jqmeko


どうやら開催されるような予感のセキュリティ&プログラミングキャンプですが、いろんな意見があるようで。悪しき平等主義のためになんの効果もないよりは、一点集中するのも手だと思うのですが、なかなかそう思う人たちだけではないようです。
hasegawayosuke: 「税金投入は底上げのために行うべきで、少数の高度人材育成に使うべきでない」という声は、セキュリティに関して言うとちょっと世界の動向に対して危機感ないのかな、とも思った。

tomoki0sanaki: @hasegawayosuke 少数の高度人材育成が、回りまわって「底上げ」につながるかもしれないですよね。

yasulib: @hasegawayosuke 底上げのために行うべきという意見も分かりますが、IT業界は1人の優れた技術者から周囲の大多数の人に影響を及ぼしていく気がします。リーナス氏などOSSのプロジェクトは特にそれが顕著な気がします。


そして、こちらではキャンプのことも少し話題になってます。なかなかセキュリティにお金が絡むと難しいことがいっぱいです。
hasegawayosuke: おもしろい。 「サイバーセキュリティと経済 研究会(第3回)‐配付資料 」 http://www.meti.go.jp/committee/kenkyukai/shoujo/cyber_security/003_haifu.html

hasegawayosuke: サイバー攻撃解析専門家:「IPAのセキュリティキャンプに過去に参加したことがあるが、講師のスキルレベルが非常に高く、参考になった。」 http://bit.ly/eDvMkA


いよいよ4月1日に提出されたウイルス作成罪ですが、どうなっちゃうんでしょうね。自称セキュリティ研究家の私が所持するのはいけないことになったりするのでしょうか。
yumano: 誰かか教えてほしいの。なんで、ウイルスの取得、保管が処罰されるの?どういう意味があるの?刀剣類所持等取締法みたいにいちゃもんつけて逮捕される匂いがプンプンするんだけど、どうなの?何が正当な理由なの?個人で研究してますってのは正当な理由なの??

yumano: @tomoki0sanaki そうですよね~。条文読んでなんとなく理解しました。予備罪としなかったのは範囲が広すぎるからなのかな・・・

tomoki0sanaki: @yumano 先日の高木先生出演のニコニコ動画では、外人の外国のサーバ上にアップしたものも対象だとか・・・(個人的に驚き)。その話から外国の似たような法律が日本人の日本国内のサーバで公開した(日本語のreadmeしかない)ソフトウェアも対象になるのか!? と不安になりました。

F0ro: @tomoki0sanaki @yumano また、今回の法案では「正当な理由がないのに」という条件がついていますが、この「正当な理由」が正当業務の企業はともかく、果たして個人に適用されるかは、素人の私では分かりませんし、ちょっと判断が難しくなるのではと思います。

tomoki0sanaki: そうでした。重要なポイントでした。 RT @F0ro @yumano という認識でいいと信じたいですが、高木先生は「人の電子計算機における実行の用に供する目的」という表現の解釈が分かれるのではないかと指摘されてます。

katsuny3: 作者は金目的とはいえ、成果物がどんな目的で使用されるかを認知していれば、アウトになってもしょうがないんじゃないかって思います。 RT @tomoki0sanaki: 「使う目的を認知していたら」下請けベンダー(開発者)も「作成」でアウトなんですかね!?

tomoki0sanaki: やっぱり。・・・受託開発はまぁそうですよね。 QT @katsuny3 作者は金目的とはいえ、成果物がどんな目的で使用されるかを認知していれば、アウトになってもしょうがないんじゃないかって思います。



その他に気になったことはこのあたり。
office_acer: IPAの「コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について」も出てますね。今月の呼びかけは「無線LANを他人に使われないようにしましょう!」 http://www.ipa.go.jp/security/txt/2011/04outline.html


sokaisecurity: 4月24日に奈良先端大での開催を予定している「第1回 So-Kai Hacks! (爽快セキュリティ技術系勉強会)」、申込みを開始いたしました。 http://www.sokaisecurity.org/news/sokai-hacks-001


s_hskz: XSS例題草案( http://d.hatena.ne.jp/st4rdust/20110329/1301386042 ) に略解を付与しました。 enjoy it!


MasafumiNegishi: ForensicSoft Announces Windows Boot Disk SAFE Version 1.2 http://bit.ly/fYZqMY


gohsuket: バチカンがハッカー思想とキリスト教主義を比較 RT @kaepora The Vatican is comparing hacker philosophy to the teachings of Christianity: http://j.mp/dS2jZs


moton: 明日急遽九段下で花見します! アノ花見(仮) : ATND http://atnd.org/events/14570

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
07-2017
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

06   08

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。