Oracle SQL Injection Attacks

前号でお話したとおり、読者プレゼントを編集後記で
お知らせしておりますのでよろしければご覧下さい。

今日はDonald Burlesonさんの運営する
コンサルティング会社のページをご紹介します。

OracleについてGoogleで調べたことのある方は
この叔父様に既に遭遇している可能性が高いのではないでしょうか。

http://www.dba-oracle.com/resume_don.htm

少なくとも彼の30冊以上に及ぶ著作を書店で
見かけたことはあると思います。

膨大な彼の記事の中から、今回はWeb Applicationの脆弱性に
注意を呼びかけている記事をご紹介します。

記事の内容自体はSQL Injectionに関する話題なので
既にご存知の方は多いかと思いますが、
面白いのは、SQL Injectionを利用してHackingしている
映像が生々しく紹介されていることです。

なんとNorthwestern Universityのユーザ専用ページに浸入しています。

■ Burleson Consulting
http://www.dba-oracle.com/
■ 引用ページ
http://www.dba-oracle.com/t_sql_injection_attacks.htm

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
記事本文
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
◆ Oracle SQL Injection Attacks

This scary must-see video that shows a real-world 
SQL injection attack and it's frightening how fast 
they can break into a allegedly secure database.  
It's even more frightening that someone would 
publish step-by-step instructions where the 
criminals can see them.

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
英語の語順に近い解釈
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
◆ Oracle SQL Injection Attacks
   Oracle SQL注射攻撃

This scary must-see video  
この恐ろしい必見のビデオ

that shows a real-world SQL injection attack
それは現実世界のSQL injection attackを表現しています。

and it's frightening 
そしてそれは恐ろしいです

how fast they can break into a allegedly secure database.  
どれだけ早く彼らが侵入できるか、セキュアだと思われているDBに

It's even more frightening 
さらに恐ろしいことに

that someone would publish step-by-step instructions 
誰かが発行することです     詳細な手順説明を、

where the criminals can see them.
犯人がそれらを参照可能な場所に

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
単語解説
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

Injection    = 注射、注入
scary        = 恐ろしい
must-see     = 必見の
frightening  = 恐ろしい
allegedly    = 証拠なしに主張されている
secure       = 安全な
step-by-step = １つ１つ順を追った
instruction  = 教えること
criminal     = 犯人

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
解説
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
SQL InjectionとはWEBページ上のパスワード欄などに
パスワードと見せかけたSQLの条件文などを組み込むことで
Application誤動作を誘う手法です。

例えばパスワード欄に「aaaaa' or '1'='1」と入れた時に
WEBアプリのSQLが単純に
select * from gokuhi_table where user='&user' and pass='&pass';
となっていたらどうなるでしょうか。
select * from gokuhi_table where user='yakusa' and pass='aaaaa' or '1'='1';
全てのデータにアクセスできてしまうのです。

既に５年以上前から警告は続いていますが、
未だに対策が施されていないWEBアプリはたくさんあるそうです。
対策方法としては、パスワード指定内容に「=」や「'」が
含まれていないかチェックしたり、
実際のパスワードは変換を施して格納しておき、
比較する際もWEBから入力された内容を変換してから比較するなど
一工夫するだけで安全性は飛躍すると思います。

ちなみにこれはWEBだけでなく、ユーザからの入力内容が
検索条件につながるアプリケーション全てに共通する考慮事項ですね。
WEBよりは減るかもしれませんが、昨今は社内にだって
悪意のあるアクセスするないとは限りません。

このセキュリティホールはOracleのパッチをいくら
最新にしても改善されないものなので、
みなさんも自分の開発したアプリが原因でWEBサイトを
閉鎖に追い込んだり、個人情報流出の元凶になったり
するような自体だけは避けるように気をつけましょう。

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
編集後記
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

今号からご購読いただいた皆様はじめまして。
本日も最後まで読んでいただきありがとうございます。

前号でお知らせしたお礼ですが、
A. USB無線LANアダプタを1名様に
<USB無線LANアダプタ>
B. amazonギフト券1000円分を3名様に
合計4名様にお贈りします。
ここまでひっぱっておきながら本当に些細で申し訳ありません。
どちらを希望されるかをご記入下さい。

またご希望の方にはオマケとしてOracleノベルティグッズの
1. be an ORACLE MASTERの名刺・レターホルダー兼ペーパウェイト
2. Oracle Certified Master長袖シャツ（アメリカサイズで男性用S
   色はブルーのダンガリー）
も差し上げます。（応募者多数の場合はこちらでどれをお贈りするかを
判断させていただきますので、ご了承下さい。）

【応募方法】
本メールマガジンにご登録頂いているメールアドレスで
お名前とお住まいの都道府県をご記入の上、このメールに対してご返信ください。
(アドレスはyakusa_oracle@yahoo.co.jpです)
感想なども添えていただけると非常にありがたいです。
応募期間は9/15 23:59迄でお願いします。

頂戴したメールが人数を超えてしまった場合は抽選とさせていただきます。

ご当選者の発表は都道府県＋イニシャルで行います。別途ご当選者様には
その旨、メールをお送りいたしますので、そのときに商品の送り先として
正式なご住所をお知らせ下さい。

皆様からのご応募・ご感想をお待ちしております。


＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
おわりに
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
記述誤りなどのご指摘、
記事に関する疑問点・質問・感想・ご意見・ご感想など
yakusa_oracle@yahoo.co.jpまでお願い致します。

簡単な自己紹介はこちら
http://pr2.cgiboy.com/S/3191274

バックナンバー兼ブログはこちら
http://imoment.web.fc2.com/

登録・解除はこちらから
http://www.mag2.com/m/0000200441.htm

このページのトップへ

• TOP PAGE

メルマガ登録・解除 英語でOracle！ 登録  解除  バックナンバー powered by