カカクコム クラブツーリズム 静岡新聞など一連の
不正アクセス事件に関与したとされる都内の中国人留学生が
逮捕された。SQLインジェクションと呼ばれる手口で、顧客
情報を盗んだようだ。
たとえば、△△.COMというサイトの場合、ネット閲覧ソフトの
アドレス入力欄などに
http://△△.com/?n=SQLの命令文と書き込む
命令文の部分に、データベースに格納されている情報を表示する
命令を書けばよい。これらの命令を組み合わせれば顧客名簿を一瞬
で抜き出せる。最近では、ウェブサイト表示ソフトの、ウェブアプ
リケーションへの攻撃が増えている
欠陥対策としては
・個人情報は、非公開の場所に保存する
・悪意ある文字列を無害化する
・ログを記録する
文字列の無害化とは、SQLの区切り記号などに使う 、> - などの
文字列の書き込みを受け付けないようにすればよい。こんな基本的
知識欠陥サイトが37%も運営されているのだ
|
