SQLインジェクション脆弱性
SQLインジェクション対策再考
... $sql = "SELECT * FROM employee WHERE name='" . $name . "'"; ※ $nameをエスケープしていないのでSQLインジェクション脆弱性あり (2)プレースホルダによるSQL文組み立て PreparedStatement prep = onn.prepareStatement( ...
32
SQL インジェクションの脆弱性
... [演習解説] 脆弱性のある箇所を特定する ログインID、またはパスワードにシングルクォート「'」を 入力し、ログインボタンをクリックして、ウェブアプリケ ーションの挙動を確認しましょう。 ...
27
脆弱性の種類を分類するための「CWE」
... ベース 特定の環境や技術に依存しない脆弱性。 CWE-79:XSS CWE-89:SQLインジェクション バリアント 特定の環境や技術に依存する脆弱性。 CWE-85:Doubled Character XSS Manipulations 複合要因 複数の要因が複合した脆弱性。次の二つの属性がある。 - ...
25
脆弱性対策情報データベースJVN iPediaの登録状況
... 図 4 に JVN iPedia に登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示し ます。Internet Explorer、Firefox、Microsoft Office などのデスクトップアプリケーションや、Web サ ーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java、GNU ライ ...
10
シスコ脆弱性データベース(VDB)アップデート 307 のリリース ノート
... シスコ脆弱性データベース(VDB)アップ デート 307 のリリース ノート • シスコ脆弱性データベースについて (2 ページ) • Cisco Firepower Application Detector リファレンスについて (3 ページ) • サポートされるプラットフォームとソフトウェア バージョン (4 ページ) • サポートされるディテクタ タイプ (5 ページ) ...
12
脆弱性対策情報データベースJVN iPediaの登録状況
... 図 4 に JVN iPedia に登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示し ます。Safari、Internet Explorer、Firefox、Microsoft Office などのデスクトップアプリケーションや、 Web サーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Java など、 ...
12
ソフトウェア等の脆弱性関連情報に関する届出状況
... 「かんたんログイン」は携帯電話やその契約者ごとに割り振られた携帯電話の識別子だけで利 用者を認証する方式の一つですが、安全な実装が簡単ではありません ( *3 ) 。また 2010 年 10 月に は、 「かんたんログイン」に関する脆弱性が原因で個人情報漏洩事故が発生しました。 この脆弱性は 2009 年第 3 四半期から報告され始め、それ以降断続的に報告されています(図 12) ...
23
Oracle Java 標準ライブラリ AtomicReferenceArray クラスにおけるデシリアライズに関する脆弱性
... 記載例 引用元:一般社団法人JPCERTコーディネーションセンター Java アプリケーション脆弱性事例解説資料 Oracle Java 標準ライブラリ AtomicReferenceArray クラスにおける デシリアライズに関する脆弱性 ...
39
Contents. 概要 ぜいじゃくせい 1. 脆弱性とは 脆弱性という言葉の意味などを説明しています 2. IPA における脆弱性対策に関する取組みについて IPA で取組んでいる脆弱性対策を コンテンツの性質をもとに大きく 4 種に分け それぞれを説明しています 推奨コンテンツのご紹介 3. 開
... 安全な SQLの 呼び出し方 SQLインジェクション攻撃への具体的 な対策書として、ウェブアプリケーショ ンの安全な実装方法を解説した資料で す。ウェブサイトを狙った SQLインジェ クション 攻撃が継続し深刻な被害が発 生している実態を踏まえ、 SQLインジェ クション対策が安全なものであるため の要件を掘り下げて検討し、どの製品 をどのように使えば安全な SQL呼び出 しを実現できるのか、その考え方を整 ...
20
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
... 記載例 引用元:一般社団法人JPCERTコーディネーションセンター Java アプリケーション脆弱性事例解説資料 Jboss Application Server におけるディレクトリトラバーサルの脆弱性 ...
45
脆弱性の視点から見るアフリカ農民・農業考
... ていることを無視することはできない。 島田 [ 2009 ] でも述べたが,個人は脆弱性緩和 の機能の一部を世帯や社会組織に預託している。 したがって個人の脆弱性は,世帯や社会組織の中 にある権力に守られているところがある。という のは脆弱性増大に悩む個人が,世帯や社会組織に 資源へのアクセスを請求する時に,それを可能と ...
5
CWEを用いた脆弱性分類の検討
... 2.2. 汎用の分類 (1) SecurityFocus Vulnerability Database SecurityFocus[3]は,すべてのプラットフォーム やサービスを対象とした脆弱性関連情報を提供す る,SecurityFocus Vulnerability Database を運営して いる.Vulnerability Database では,エラーの発生箇 所を基に分類を行っている.分類は ...
6
Trend Micro 脆弱性対策オプション 導入手順書【第2版】
... 脆弱性対策オプションをインストールする前に、 【SQL アップグレードツール】を使用して脆弱性対策オ プションが利用するデータベースを SQL Server 2008 R2 Express 版にアップグレードしてください。 インストール方法やツールのダウンロードなどの詳細は下記 URL を参照してください。 ...
34
SQLインジェクションと推測によるデータマイニング
... SQL インジェクション経由でデータ入手を試みる攻撃は、3 つに分類できる。帯域内攻撃、帯域外攻撃、そして、比較 的知られていない推測攻撃である。帯域内攻撃は、同じチャネル上でクライアントと Web サーバー間でデータの引き 出しが行われる。たとえば、UNION SELECT を使って Web ページ内に結果が埋め込まれる。帯域外攻撃は、たとえ ば、データベースのメール関数や HTTP ...
10
Shellshock 脆弱性 (CVE ) とは? Linux などで使用されるオープンソースプログラム bash に存在する脆弱性 bash は Linux BSD Mac OS X などの OS で使われる シェル と呼ばれるコマンドシェルの 1 つ 脆弱性が悪用されると ba
... – CGI、ssh、rsh、rloginなどで bash が使われている 場合、システムなどの関数によって呼びこまれている場 合には特に注意が必要です • また、サーバやPCだけではなく、Linuxベースのアプライアン スや組み込み機器、Internet of Everything(IoE) 関連デバイスなどでも影響を受ける可能性があります ...
20
JPCERT/CC 脆弱性関連情報取扱いガイドライン ver6.0
... 4-4. 重要インフラ事業者等に対する優先的な情報の提供 JPCERT/CCは、届出がなされた脆弱性関連情報に関して、重要インフラ等に対し特に影響 が大きいと推察される場合、IPAおよび製品開発者と協議の上、決定された一般公表日時よ り前に、脆弱性関連情報と対策方法を、政府・行政機関や重要インフラ事業者等に対して優 ...
30
【意見招請番号:4】情報システムの脆弱性診断業務
... 1. 概要 1.1 目的 独立行政法人日本学生支援機構(以下、 「機構」という。 )では、平成 24 年度に情報 セキュリティ対策を目的としインターネットへ公開している Web サーバ等の機器に対 しインフラ脆弱性診断及び Web アプリケーション診断を行った。しかし不正アクセス や改ざん等の手口は日々進化しており、また Web アプリケーションについても制度変 ...
10
Cisco WebEx ブラウザ拡張機能リモート コード実行の脆弱性
... Explorer のプラグインの登録済みの名前はプラグインに使用するインストール方式に基づいて 異なるかもしれません。 プラグインの修正済み バージョンはアップデートを提供した Cisco WebEx のバージョンによって決まります。 アップデートは、WebEx ミーティング参加時に Web 経由で適用されているか、または MSI ファイル経由でクライアントのローカル アップデ ートによって適用されている可能性があります。 ...
10
脆弱性やセキュリティ設定をチェックする「OVAL」
... なぜMyJVNバージョンチェッカか? • 脆弱性の対策を文書で組織内に適用させるのは大変 – 毎日脆弱性対策情報を追い、影響が深刻な脆弱性があれば稼働中 のシステムに対して対策を文書で通知する ...
28
IPA テクニカルウォッチ クライアントソフトウェアの脆脆弱性対対策 に関するレポート ~ クライアントソフトウェアの脆弱性対策策の必要性の理解と促進進 ~
... しかしながら、CVE-2013-0422(JRE の脆弱性)の場合、EMET では攻撃を検知できず、 PC の乗っ取りに成功した。検知できなかった理由は、本脆弱性は JRE のサンドボックスを回 避する脆弱性であるため、EMET の機能上検知の対象外となっているためと考えられる。 今回の検証結果から、パッチを適用していない状況において EMET ...
18