川口洋のセキュリティ・プライベート・アイズ(8):クッキーに隠されたSQLインジェクション、対策は? - @IT
LACの川口さんのコラム、今回は先日プレスリリースされたCookieにSQL Injection攻撃コードを埋め込んだ攻撃についての解説です。
簡単にまとめるとこんな感じ。
CookieにSQL Injection攻撃コードを埋め込んだ攻撃を確認
IDS/IPSやWAFによる攻撃検知を回避する事が主な目的の模様
既にLACオリジナルシグネチャ(JSIG)は公開されているが、チューニングが大変だった(パフォーマンスに可能な限り影響を与えず、かつ的確に検知するという相反する条件を満たすのは大変だったとの事)
根本的な対策は「脆弱なWebアプリは作らない事」……これは従来からの原則と全く変わる事が無い!!
ただし現実はそれは難しいので「多層防御」が重要
例えば「今回の攻撃に対応した、IDS/IPSのシグネチャを導入・追加する」「Webサーバ側アクセスログにCookieの内容を記録し監視する」「DB側の設定をセキュアになるように見直して設定する」などが挙げられる
まぁ、結局Webアプリ側で適切な対応が図られていれば、攻撃が成立しないのは当然と言えば当然ですね(それがなかなか出来ないし難しいのも分かっていますが)。
LACの川口さんのコラム、今回は先日プレスリリースされたCookieにSQL Injection攻撃コードを埋め込んだ攻撃についての解説です。
簡単にまとめるとこんな感じ。
まぁ、結局Webアプリ側で適切な対応が図られていれば、攻撃が成立しないのは当然と言えば当然ですね(それがなかなか出来ないし難しいのも分かっていますが)。