![NETWORKWORLD (ネットワーク ワールド) 2008年 3月号 [雑誌]](http://ecx.images-amazon.com/images/I/516bTeBV-kL._SL75_.jpg "NETWORKWORLD (ネットワーク ワールド) 2008年 3月号 [雑誌]")
![月刊 COMPUTERWORLD (コンピュータワールド) 2008年9月号 [雑誌]](http://ecx.images-amazon.com/images/I/51pBzS2JwnL._SL75_.jpg "月刊 COMPUTERWORLD (コンピュータワールド) 2008年9月号 [雑誌]")
![[改訂新版] これだけはおさえたい データベース基礎の基礎 (エンジニア“確実”養成講座)](http://ecx.images-amazon.com/images/I/51lHlIy0PHL._SL75_.jpg "[改訂新版] これだけはおさえたい データベース基礎の基礎 (エンジニア“確実”養成講座)")
![[スーパースター] SUPERSTAR SUPERSTAR SS J212 SS J212 ピンク (ピンク/24.5)](http://ecx.images-amazon.com/images/I/41yQSNRz1TL._SL75_.jpg "[スーパースター] SUPERSTAR SUPERSTAR SS J212 SS J212 ピンク (ピンク/24.5)")
PHP+MySQL5.5.24 utf8mb4奮闘記。
erio_nk
2012-05-23
PHPからUTF8の4バイト文字を入れてたらなんかおかしな文字コードで入ってたのに気がついて四苦八苦したメモ。 環境は CentOS6.2、 PHP5.3.3(インストールはyum) MySQL5.5.24(インストールはyum、remiリポジトリから)、 MySQLサーバの文字コードはutf8mb4。 そのままINSERT。$db = new mysqli($host, $user, $pass...
Mon, May 21
koroharo
2012-05-22
07:12 雲が遮光してくれて日食見えた。 @ 六実駅に写真つきタッチ! http://t.co/4SJ62Jh307:12 「ぎんのタッチ」シールを手に入れた! http://t.co/GICeChRo07:37 食の最大で完全に曇ってるww07:40 RT @g107_maitan: 日食網膜症になったかも...
C# PostgreSQL 部分一致検索するってのをやってみました。
oira3ryu
2012-05-04
...9;%:phonetic%' とかやってみたけど動かず。。。 しばし悩んだ結果、Parameters.AddWithValueに"%"を埋め込んでやることで解決。 ただし、SQLインジェクションとか対応するにはもっと適切な方法があるんだと思う。 private void but_name_search_Click(object sender, EventArgs ...
hotpi
SSL証明書 | ソフトウエア等の脆弱性関連情報
onlinessl
2012-04-23
IPAは「ソフトウエア等の脆弱性関連情報に関する届出状況」を公表した。 DNSキャッシュポイズニングの脆弱性の届出が激増、 SQLインジェクションの脆弱性の届出が増加、脆弱性対策情報ポータルサイトJVNのCVE互換を宣言、などのトピックスのほか、ソフトウェア製品やウェブサイトの脆弱性の処理状況、脆弱性対策を完了したウェブサイト運営者からのアンケート集計結果を伝えている。 SSL 証明書|ジオトラ...
SQLインジェクション攻撃に対する実装側の対応策
wiz_asura_biz
2012-04-17
基本的な事ですが、SQLインジェクションについて。 SQLインジェクション(攻撃)とは、字の如く、SQLに悪意あるコードを注入する攻撃の事。 例えば、Webシステムのビジネスロジックで以下のようなコードを書いた場合。 string sql; sql = "select code, name from dictionary where code ='" + codePar...
CabinCr3wのメンバーはなぜ FBIに逮捕されたのか?
ukky3
2012-04-16
2012年 3月20日、CabinCr3wのメンバーの一人でテキサス州に住む 30才の Higinio O. Ochoa III (aka w0rmer) が FBIに逮捕された。Anonymousの逮捕は近年ではあまり珍しくもないが、逮捕に至るまでの経緯がちょっとおもしろいので紹介しよう。 CabinCr3wは Anonymousからうまれた小グループで、OWS (Occupy Wall Str...
3月の国内インシデントをまとめてみた。
Kango
2012-04-14
3月の国内インシデントをまとめました。 3月は1月、2月よりも件数が増え心が折れそうになりましたが、なんとかもう1回ぐらいはということでまとめました。 お約束ですが、下記お読みいただくにあたり、次の点(特に最後)にご注意ください。国内の組織で発生したインシデントをpiyokangoが数えたもので、海外等のインシデントは含まれていません。対象インシデントは公式発表か、報道で発表が確認されたものに限定...
hk1012
「オープンソース形式でWebアプリセキュリティの向上を」 − @IT
polygonplanet
2012-04-10
「オープンソース形式でWebアプリセキュリティの向上を」 − @IT Web APIにアクセスしルーチンはとするのがお約束となってからずいぶん時間が経つSQLインジェクションのような機能を作り込むことで、ブラウザごとに実装が異なること、広告やアクセス解析用に埋め込んでいるJavaScriptが動作しなくなる可能性があるのに知られているプロジェクトへの参加も後押しし、知見の共有を支援していても、徳...
セキュリティ関連組織のレポートをまとめてみた。(2012年3月発表分)
Kango
2012-04-05
3月の国内向けのセキュリティ関連企業や組織の定期レポートをまとめました。 IPAコンピュータウイルス・不正アクセスの届出状況(3月分および第1四半期)について(3月度詳細) -PDF(第1四半期ウィルス詳細) -PDF(第1四半期不正アクセス詳細) -PDFIPA テクニカルウォッチ 『組織の内部不正防止への取り組み』に関するレポート連絡不能開発者一覧の公表状況(2012年第1四半期)「2012年...
prepareStatement メソッド
tanaka101
2012-04-04
情報セキュリティスペシャリスト試験(SC)対策5 数年ぐらいJavaやってなくても、なんとなく回答できた問題。 まあ、上にC++のソースが書いていて、そのまま写しただけなんですけど。 SQLインジェクション対策で、このメソッドを使う事が推奨されています。 昔はベタベタに判定して変換するか、正規表現で変換していた気がします。 SQLの特殊文字をエスケープするのが基本。例外もあるかな? 細かく書き出し...
差し出されたスイッチは押してはいけないのか?
syossan
2012-04-04
...書きにかかれていないこと、尚且つスイッチを全て押すといった誰でもやりそうなことに対してのテストをやっていなかったことに対して憤りを感じた。 もしこれがWebアプリケーション開発であれば、formタグにSQLインジェクションかまされてDBがおじゃんになりました、ごめんちゃいなんてことになったら目も当てられない自体である。 物を作る際の大前提は、 「ユーザは入力に対して何でもしてくる」 と 「ユ...
MySQL5.1以降の小数の扱いがキモい
hnw
2012-04-01
穏やかな昼下がりにMySQLで小数の足し算をしていたところ、不思議な現象を見つけました。 mysql> select 0.8=0.7+0.1;| 0.8=0.7+0.1 || 1 |1 row in set (0.00 sec) mysql> select 0.8=0.7+0.1e0;| 0.8=0.7+0.1e0 || 0 |1 row in set (0.00 sec) mysql...
ちょっと変わったSQLインジェクション − @IT(情報元のブックマーク数http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/039.html)
ripjyr
2012-03-28
攻撃者もすごいな・・・攻撃者は、このようなSQLインジェクションと、それによって作成されたファイルへのアクセスを「1セット」として攻撃を行っています。作成したファイル(jatest7.php)にアクセスすると、以下のようにレスポンスコードとメッセージが出力され、対象のWebアプリケーションが脆弱であるか否かを確認できるようになっているのです。 レスポンスコードが「404 Not Found」だった...
22年春期 午前Ⅱ②
powdersugar
2012-03-26
...トワークのホストへの侵入を防止する対策のうち、IPスプーフィング(spoofing)攻撃に有効なものはどれか。 【解答】エ →外部からはいってくるはずのないパケット--->なりすまし対策 問8 SQLインジェクション攻撃を防ぐ方法はどれか。 ア 入力から、上位ディレクトリを指定する文字列(../)を取り除く。 イ 入力中の文字がデータベースへの問合せや操作において特別な意味をもつ文字と...
ちょっと変わったSQLインジェクション − @IT
f-star
2012-03-24
ちょっと変わったSQLインジェクション − @IT川口 洋 株式会社ラック チーフエバンジェリスト...続きはこちら
ちょっと変わったSQLインジェクション − @IT
polygonplanet
2012-03-24
ちょっと変わったSQLインジェクション − @IT 日にAnonymousがやるらしいという傾向があるApacheあのひょっとしたら攻撃者も同じように考えのエラー出力をGoogleで検索しセミナー講師など対外的な活動も行う。また、YouTubeのlaccotvにて、川口洋のセキュリティ監視センターJSOC余談ですが、よくもまあ、PostgreSQLを選んだな世間は標的型攻撃でお願いできますか?実...