日本のセキュリティチーム (Japan Security Team) : 最近のWeb改ざんとかSQLインジェクションとか
セキュリティ界隈では、今更になっちゃうんですが、MicrosoftがSQLインジェクションのガイドラインを出したそうです。
読者と告知対象とのズレ、特にBlogで告知とかしても、見てほしい人が見てくれない罠・・・
SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。
確かにSQLインジェクションなので、ファイルを見ても意味ないですねw。
コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。
このあたり、小野寺さんの愛情を感じます。一言ですが、重い一言です。
すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。