水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 最近の改竄事件でMicrosoft SQL Serverが狙われる理由

最近の改竄事件でMicrosoft SQL Serverが狙われる理由

2008年5月8日(木曜日)

最近の改竄事件でMicrosoft SQL Serverが狙われる理由

SQL Serverが狙われるには理由がある (www.tokumaru.org)」。

SQL Serverにはxp_cmdshellという便利な機能があり、SQL文で簡単に任意コマンドが実行できたりします。昔は、このxp_cmdshellを利用したと思われるタイプの改竄が良くありました。

が、最近流行っているのは任意コマンド実行ではなく、DBにひたすらスクリプトを突っ込み、それがエスケープされずに表示されるのを期待するという方法です。この方法ならxp_cmdshellは必要ないので、MSのSQL Serverに限らず、どんなSQLサーバでも攻略されるのではないか……と思いながらも、何故かSQL Serverが中心に狙われているようなので不思議だったのでした。

徳丸さんの分析によれば、最近流行の攻撃手法はSQLの複文を使用していて、それが動くのがSQL ServerとPostgreSQL であると。

……ということは、PostgreSQLもけっこう危ないと考えた方が良いのですかね。まあ、いずれにしてもSQLインジェクションを許している時点でダメなので、DBサーバ側の責任ではないと思いますが……。

関連する話題: セキュリティ / Microsoft

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト