ockeghemのブックマーク / 2011年4月30日

ockeghem id:ockeghem

2011年4月30日のブックマーク (3件)

ドメインパーキング
atnd.org
ockeghem 2011/04/30
#wasbook についてお話しさせていただきます。まっちゃ445とは少し切り口を変えた話も交えたいと思います

security

event

momiji
リンク
Q&A #1 for PlayStation Network and Qriocity Services
April 27, 2011April 29, 2011 Q&A #1 for PlayStation Network and Qriocity Services First off, we want to again thank you for your patience. We know that the PlayStation Network and Qriocity outage has been frustrating for you. We know you are upset, and so we are taking steps to make our services safer and more secure than ever before. We sincerely regret any inconvenience or concern this outage ha
ockeghem 2011/04/30
『all credit card information stored in our systems is encrypted』<透過型のデータ暗号化だった場合、SQLインジェクションにより平文のデータが取られるがそこまでは分からない

PSN

security
リンク
CWE-89 SQLインジェクション
解説解説要約ソフトウェアが外部からの入力内容を上位コンポーネントを通じて使用し、その内容からSQLコマンドを構築している場合において、意図しているSQLコマンドを改ざんできてしまう特殊な要素を、適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。詳細な解説ユーザからの入力に含まれる SQL 構文に対する除去や引用符の処理が十分でないと、生成された SQL クエリにおいて、入力が通常のデータではなく SQL として解釈されてしまう可能性があります。これは、クエリのロジックを変えてセキュリティチェックを回避する、あるいは新たなステートメントを挿入してバックエンドのデータベースを改ざん（場合によってはシステムコマンドを実行）するのに利用される可能性があります。 SQL インジェクションは、データベースと連動する Web サイトによく見られるようになりました。本脆弱性は、
ockeghem 2011/04/30
『他の一般的な解決策として、ストアドプロシージャを利用することが挙げられます』<日本では全然一般的でないけど、なぜか米国ではそういう説明が多い。このドキュメントも翻訳
リンク
- 2011年5月1日
- 2011年4月30日
- 2011年4月28日