2008年04月21日
セキュリティはイタチごっこ?
色々な所で騒がれていますが、
先月からSQLインジェクションが流行しています。(何かインフルエンザみたいな言い方ですね(苦笑))
ECサイトでなくとも、データベースドリブンなサイトが増えていますし、
コーポレートサイトなどもCMS(Contents Management System)を使っているサイトが多い昨今、
Webを経由してデータベースを攻撃するSQLインジェクションは、
今最も危険な脆弱性の一つと言えるでしょう。
ここ数年、ASP(Active Server Page)をターゲットにした攻撃が主で、目に見えて深刻な被害を
受けているサイトはASPが多いですが、.Netへの移行などにより、数は減少傾向にあります。
また、程度問題ではありますが.Netは比較的脆弱性が出来にくく、ASP並に酷いのがPHPです。
PHPサイトの増加を考えると、次にターゲットとされるのはPHP+MySQLかもしれません。
よく、セキュリティはイタチごっこだと、ニュース等で言われますが、私はそうは思いません。
SQLインジェクションによる攻撃は、2006年にカカクコムであった事件と全く同じですし、
今年のSQLインジェクションによる攻撃の内容も技術的にはあまり変わっていません。
確かに、後手に回るとイタチごっこになりがちです。
しかし、セキュリティ対策の真髄は、先読みにあります。
PHPを使ったデータベースドリブンなサイトは今から十分警戒しておきましょう。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/488
