新生鳩丸掲示板♯

SQL Serverが狙われるのは複文が使えるということよりも、Transact-SQLを使えばこの種の攻撃が簡単にできるという点にあるのではないかと思います。

未知のデータベースに対して全テーブルの全カラムの値を更新するということを行う場合、まずテーブルの名前とカラム名を取得して、それを元にUPDATE文を生成し、実行するという手順が必要になります。一般的なSQLでは動的にUPDATE文を生成し実行するということはできないため、テーブルの名前とカラム名の問い合わせ結果を一度入手して、手元でUPDATE文を生成するということを行うことになります。とはいえ、任意の問い合わせ結果が取り出せる都合の良い脆弱性はなかなか存在しないため、この攻撃を成功させるのは難しいはずです。

が、Transact-SQLはストアドプロシージャを記述できるほど高機能なため、前述の手順を単一のクエリーで行うことができます。これであれば、とにかくクエリーを実行させさえすれば攻撃が成功します。攻撃用のクエリーも固定で良いため、自動化も容易です。

通常のクエリーでTransact-SQLのexecute関数のようなものが使えるシステムであれば同様の攻撃を受ける可能性が高いですが、SQL Serverのようにストアドプロシージャの定義ではない部分でそういうものが使えるシステムはそうは無いと思います。

パスワードの定期変更を義務づけると、本来なら推測されにくいパスワードをきちんと設定するような人が安易なパスワードを設定した上に付箋紙メモを机の上に貼ってしまうような事ってありませんか？

毎回推測されにくいパスワードを考えるのが大変→安易なパスワードに。

変更する毎に新しいパスワードを覚えるのが大変→付箋紙メモに。

とはいえ、こういったリスクを考えても同じパスワードを使い続ける方が危険だということだと思いますが。

つまりセキュリティ上の理由ですか【謎】。ちなみにパスワード変更の期間はやはり別途定められているのでしょうか【謎】。

私の好きな「雪印6P(チーズ)」も、最近は妙に薄くなってます。(;o;)

バイオ燃料の影響で飼料が高騰した関係で、乳製品全般が全世界的に品薄→値上がりしているようですね。

なんか海外からある程度の量を輸入させられてるらしいけど、それを前倒しするくらいなんでかなり品薄なんでしょうね……。

ありがとうございます。

本気で品薄なのですね……。

実際品薄らしいです

http://headlines.yahoo.co.jp/hl?a=20080406-00000001-fsi-bus_all

>単純に、400 「Bad Request」 ではいけませんか？

400系のステータスはクライアントが原因のエラーを示すステータスですが、たとえばサーバ内部で使用していているデータファイルの内容がアレだったとか、データベースから取得したデータがアレだったという場合はクライアントが原因とは言えないので400系はふさわしくないと思います。

ちなみに 400 Bad Request はリクエストのシンタックスが不正なことを示すステータスなので、内容が不正という場合には使えないはずです。

始めまして、僕の固有キンは、ドラゴファージです　それと、名前じぁキンは変わりませんなぜなら、同じ名前でもDSを変えればキンはかわります

くりキン危険かもさんドラゴファージほしいと結っていましたよね　僕がやったらできました　名前はファイヤーで性別は男でできましたやってもやらくてもいいです

単純に、400 「Bad Request」 ではいけませんか？

私はよく 403, 404 などを返しています。

500 はまず返しません。理由は既に出ていますね。

不正なデータを投げてくるクライアントにはこの程度の応答で十分でしょう。

クライアントからの作為的な不正データへの応答なら402でどうでしょう？

情報が欲しいorサーバリソースを使いたいなら金払えと・・・(^^;

307でLocationにhttp://www.cyberpolice.go.jp/というのも捨てがたいモノがありますが・・・

タッチペンの位置がずれているんです！

ずれを直す機能を使ってもまったく直らないんです！

これは　どういうのなのでしょう？

指摘してきたセキュリティ屋さんに、どのステータスコードで返せばよいですか？

と質問してみるのもありかと思います。

>セキュリティはまるでシロートですが、推測するに、

>結果として攻撃する側から見れば穴があるかもしれないという判断をされかねないからではないですか？

>500がもどる=不正処理しているのかもしれない。という考え。

>クラック目的でインジェクション仕込んでくるような人ですから、疑ったら色々試してきそうな予感もします。

　そういうことのようです。

　最初は「攻撃者に情報を与える」と言われて「スタックトレースも出してないのに何言ってるんだ?」と思ったのですが、確認してみると「500自体が情報になるので駄目」ということだそうで……。

サーバのバージョン番号は隠しましょうということですね。わかります【棒】。

>ハンドリングした上で500エラーを出しているのか、単純に落ちているだけなのかがリモートからは確認できない

セキュリティはまるでシロートですが、推測するに、

結果として攻撃する側から見れば穴があるかもしれないという判断をされかねないからではないですか？

500がもどる=不正処理しているのかもしれない。という考え。

クラック目的でインジェクション仕込んでくるような人ですから、疑ったら色々試してきそうな予感もします。

ハンドリングした上で500エラーを出しているのか、単純に落ちているだけなのかがリモートからは確認できないので、“念のため報告しておきますから意図した動作なのか確認してくださいね～”的な内容だったのではありませんか？(^-^)

何で駄目なのか言ってもらわないと参考にならない気がするのですが別途定めるセキュリティ上の理由で公開できなかったりするのでしょうか。