トレンドマイクロ社のwebサイトが改ざん
ウイルスバスターで有名なセキュリティ企業のトレンドマイクロ社のwebサイトが何者かによって書き換えられるといったことが発生した。
http://itpro.nikkeibp.co.jp/article/NEWS/20080312/296062/
webへの攻撃方法はSQLインジェクションと呼ばれる方法。フォームなどのデータをデータベースに登録する際に、妙な文字列を埋め込むことでデータベースのデータ破壊や改竄をすることができる。本サイトでは一応対策してるはずだが、他人事ではないのが味噌。
似たような攻撃方法で XSS(クロスサイトスクリプティング)と呼ばれる攻撃方法もある。これはフォーム登録時にフォーム文章の中にJavaScriptやPHP構文を埋め込んだりすることで、埋め込んだプログラムを実行させようといったものだ。
これらの攻撃を防ぐにはPHP関数htmlspecialcharsやstripcslashesなどを使い、HTMLタグの実行を無効化することができる。簡単な例は < を&lt;に、> を&gt;にしたりすることだ。
コレをすることでフォームから送られてきたタグ命令をただの文字列にすることができる。分散サーバ処理などをすると様々な問題点が付いてくるのでセキュリティ対策をしっかりしないといけない・・・。
トラックバック URL :
コメント (1926)