「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開:ITpro ログを基にSQLインジェクションの痕跡を検出、IPAが無償検査ツール - @IT IPAが、WebサーバのログからSQLインジェクション攻撃があったか検出するツールである「iLogScanner」を無償提供したとのこと。IISやApacheのログが解析対象になります。 100%攻撃を検出できるわけではなく、誤検出の可能性もあるようですが、それでも利用価値は高いのではないでしょうか。 @ITによると、将来的にはクロスサイトスクリプティングやOSコマンドインジェクションなどの検出機能も追加予定とのことで期待したいですね。 iLogScannerは、以下より実行可能です。 情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイトの脆弱性検出ツール http://www.ipa.go.jp/security/v
独立行政法人 情報処理推進機構(IPA)は18日、WebサイトのSQLインジェクションの脆弱性を検出するツール「iLogScanner」を公開した。IPAのサイトから無料で入手できる。 同ツールは、利用者のWebブラウザ上で実行するJavaアプレット形式のプログラムで、Webサーバのアクセスログの中から攻撃に頻繁に用いられる文字列を検出し、Webサイトへの攻撃頻度や攻撃成功の可能性などをチェックする。 ツールによりWebサイトへの攻撃が確認された場合は、Webサイトの開発者やセキュリティベンダーへ相談を行うという流れを想定している。また、簡易ツールという性質上、攻撃が検出されなかった場合でも脆弱性の検査を実施するよう薦めている。 近年、Webサイトを狙ったSQLインジェクション攻撃が急増している一方、専門性の壁により一般のWebサイト運営者の対応は困難だった。IPAはこうした状況に対
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
