インジェクション対策
テーマ ・ プライベート♪
カテゴリ ・ 製作日記
#1802
このサイトは対策済みです。{:-)}
SQLサーバは高度な組み込み関数を利用できます。
しかし、パイプを利用してSQL文にコマンドを記述できるため、海外の乗っ取り屋がインジェクションという手法でDBを壊そうとしてきます。
インジェクション対策は、記述内容にそれらコマンドが追加されていないかを確認すれば回避できます。
また、このサイトの様に、一度攻撃を仕掛けてきた特定のIPアドレスからのアクセスを拒否できる仕組みも必要です。
その他には、SQLサーバのシステムオブジェクトの動作権限を取り払うという手法もあります。
ストアドなどの組み込み関数を利用していなければ簡単な方法ですね。{o_o}
しかしまあ....{kya}
システムが複雑化するにつれ攻撃者も高度になってくるため、様々な対策を実装しなければならず、開発には余計なコストが上乗せされるようになりました。
しかし、新たな脅威が発覚するたびにシステムを更新しておかなければ、いつか攻撃者に荒らされてしまいます。
インターネットに晒されているシステムの場合、一度構築したシステムをずっとそのまま利用し続けるのは、もはや危険行為です。
そういった意味で、既存の保守は意味合いが異なってきます。
ハードウエア保守は現状を維持する事が主たる目的ですが、システム保守は常に攻撃者に対する備えを続けなければいけません。
これまた本来不必要なコストが増えますよね。
私は思うのですが・・・
日本政府は、日本国内専用のネットワークを構築したらどうでしょう?
海外に行きたい人はゲートウエイを通過して行きます。
そうすればかなり安全になるるはずですが・・・{^;;}
保護貿易主義でしょうか{:-)}・・・鎖国主義?{ow-}
SQLサーバは高度な組み込み関数を利用できます。
しかし、パイプを利用してSQL文にコマンドを記述できるため、海外の乗っ取り屋がインジェクションという手法でDBを壊そうとしてきます。
インジェクション対策は、記述内容にそれらコマンドが追加されていないかを確認すれば回避できます。
また、このサイトの様に、一度攻撃を仕掛けてきた特定のIPアドレスからのアクセスを拒否できる仕組みも必要です。
その他には、SQLサーバのシステムオブジェクトの動作権限を取り払うという手法もあります。
ストアドなどの組み込み関数を利用していなければ簡単な方法ですね。{o_o}
しかしまあ....{kya}
システムが複雑化するにつれ攻撃者も高度になってくるため、様々な対策を実装しなければならず、開発には余計なコストが上乗せされるようになりました。
しかし、新たな脅威が発覚するたびにシステムを更新しておかなければ、いつか攻撃者に荒らされてしまいます。
インターネットに晒されているシステムの場合、一度構築したシステムをずっとそのまま利用し続けるのは、もはや危険行為です。
そういった意味で、既存の保守は意味合いが異なってきます。
ハードウエア保守は現状を維持する事が主たる目的ですが、システム保守は常に攻撃者に対する備えを続けなければいけません。
これまた本来不必要なコストが増えますよね。
私は思うのですが・・・
日本政府は、日本国内専用のネットワークを構築したらどうでしょう?
海外に行きたい人はゲートウエイを通過して行きます。
そうすればかなり安全になるるはずですが・・・{^;;}
保護貿易主義でしょうか{:-)}・・・鎖国主義?{ow-}
まだコメントはありません。最初のコメントを書いてみませんか?
コメントするには ログイン してください。