Oracle SQL Injection Attacks
前号でお話したとおり、読者プレゼントを編集後記で お知らせしておりますのでよろしければご覧下さい。 今日はDonald Burlesonさんの運営する コンサルティング会社のページをご紹介します。 OracleについてGoogleで調べたことのある方は この叔父様に既に遭遇している可能性が高いのではないでしょうか。 http://www.dba-oracle.com/resume_don.htm 少なくとも彼の30冊以上に及ぶ著作を書店で 見かけたことはあると思います。 膨大な彼の記事の中から、今回はWeb Applicationの脆弱性に 注意を呼びかけている記事をご紹介します。 記事の内容自体はSQL Injectionに関する話題なので 既にご存知の方は多いかと思いますが、 面白いのは、SQL Injectionを利用してHackingしている 映像が生々しく紹介されていることです。 なんとNorthwestern Universityのユーザ専用ページに浸入しています。 ■ Burleson Consulting http://www.dba-oracle.com/ ■ 引用ページ http://www.dba-oracle.com/t_sql_injection_attacks.htm _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 記事本文 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◆ Oracle SQL Injection Attacks This scary must-see video that shows a real-world SQL injection attack and it's frightening how fast they can break into a allegedly secure database. It's even more frightening that someone would publish step-by-step instructions where the criminals can see them. _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 英語の語順に近い解釈 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◆ Oracle SQL Injection Attacks Oracle SQL注射攻撃 This scary must-see video この恐ろしい必見のビデオ that shows a real-world SQL injection attack それは現実世界のSQL injection attackを表現しています。 and it's frightening そしてそれは恐ろしいです how fast they can break into a allegedly secure database. どれだけ早く彼らが侵入できるか、セキュアだと思われているDBに It's even more frightening さらに恐ろしいことに that someone would publish step-by-step instructions 誰かが発行することです 詳細な手順説明を、 where the criminals can see them. 犯人がそれらを参照可能な場所に _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 単語解説 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ Injection = 注射、注入 scary = 恐ろしい must-see = 必見の frightening = 恐ろしい allegedly = 証拠なしに主張されている secure = 安全な step-by-step = 1つ1つ順を追った instruction = 教えること criminal = 犯人 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 解説 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ SQL InjectionとはWEBページ上のパスワード欄などに パスワードと見せかけたSQLの条件文などを組み込むことで Application誤動作を誘う手法です。 例えばパスワード欄に「aaaaa' or '1'='1」と入れた時に WEBアプリのSQLが単純に select * from gokuhi_table where user='&user' and pass='&pass'; となっていたらどうなるでしょうか。 select * from gokuhi_table where user='yakusa' and pass='aaaaa' or '1'='1'; 全てのデータにアクセスできてしまうのです。 既に5年以上前から警告は続いていますが、 未だに対策が施されていないWEBアプリはたくさんあるそうです。 対策方法としては、パスワード指定内容に「=」や「'」が 含まれていないかチェックしたり、 実際のパスワードは変換を施して格納しておき、 比較する際もWEBから入力された内容を変換してから比較するなど 一工夫するだけで安全性は飛躍すると思います。 ちなみにこれはWEBだけでなく、ユーザからの入力内容が 検索条件につながるアプリケーション全てに共通する考慮事項ですね。 WEBよりは減るかもしれませんが、昨今は社内にだって 悪意のあるアクセスするないとは限りません。 このセキュリティホールはOracleのパッチをいくら 最新にしても改善されないものなので、 みなさんも自分の開発したアプリが原因でWEBサイトを 閉鎖に追い込んだり、個人情報流出の元凶になったり するような自体だけは避けるように気をつけましょう。 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 編集後記 _________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 今号からご購読いただいた皆様はじめまして。 本日も最後まで読んでいただきありがとうございます。 前号でお知らせしたお礼ですが、 A. USB無線LANアダプタを1名様に <USB無線LANアダプタ> B. amazonギフト券1000円分を3名様に 合計4名様にお贈りします。 ここまでひっぱっておきながら本当に些細で申し訳ありません。 どちらを希望されるかをご記入下さい。 またご希望の方にはオマケとしてOracleノベルティグッズの 1. be an ORACLE MASTERの名刺・レターホルダー兼ペーパウェイト 2. Oracle Certified Master長袖シャツ(アメリカサイズで男性用S 色はブルーのダンガリー) も差し上げます。(応募者多数の場合はこちらでどれをお贈りするかを 判断させていただきますので、ご了承下さい。) 【応募方法】 本メールマガジンにご登録頂いているメールアドレスで お名前とお住まいの都道府県をご記入の上、このメールに対してご返信ください。 (アドレスはyakusa_oracle@yahoo.co.jpです) 感想なども添えていただけると非常にありがたいです。 応募期間は9/15 23:59迄でお願いします。 頂戴したメールが人数を超えてしまった場合は抽選とさせていただきます。 ご当選者の発表は都道府県+イニシャルで行います。別途ご当選者様には その旨、メールをお送りいたしますので、そのときに商品の送り先として 正式なご住所をお知らせ下さい。 皆様からのご応募・ご感想をお待ちしております。 ___________________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ おわりに ___________________________________  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 記述誤りなどのご指摘、 記事に関する疑問点・質問・感想・ご意見・ご感想など yakusa_oracle@yahoo.co.jpまでお願い致します。 簡単な自己紹介はこちら http://pr2.cgiboy.com/S/3191274 バックナンバー兼ブログはこちら http://imoment.web.fc2.com/ 登録・解除はこちらから http://www.mag2.com/m/0000200441.htm