サポート » バグ報告と提案 » SQLインジェクションでの改ざん

  • 解決済 Eiichi Uchibori

    (@eucreate)



    4.9.8にアップしたところ、Webページ改ざんされました。

    WAF対応のサーバーのバージョンを4.9.8にししばらくしたら、
    ログが残っていたので、見てみたところ、
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%29%20UNION%20ALL%20SELECT%20NULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2d%2d%20DhKz
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%20ORDER%20BY%201%2d%2d%20WPrJ
    等のSQLインジェクション攻撃のようです。

    WAFが無い,無効,適切な設定でない場合は、
    .htaccessの書き換えや、PHPファイル等の書き換え、不正なファイルの作成等の改ざんが行われるようです。

    なお、4.9.7では問題無いようです。

2件の返信を表示中 - 16 - 17件目 (全17件中)
  • 最後に質問をしましたが、誠に勝手ながらこれでこの件は解決済みとさせていただきます。
    皆様に心よりお礼申し上げます。

    Takahashi Fumiki

    (@takahashi_fumiki)

    @eucreate

    ご指摘の件ですが、仲間がいるかどうかというより、セキュリティに関する知見があるかどうかが問題ではないでしょうか。セキュリティ専門のエンジニアというのもいますし、最近は攻撃方法も多彩なので、継続的に情報を追っておく必要があります。

    – IPAのセキュリティ情報 https://www.ipa.go.jp/security/announce/alert.html
    – Sucuriのブログ https://blog.sucuri.net/

    他にも色々ありますが、普段からセキュリティの情報を摂取しておくことをオススメします。

    やはり、今後は私のような仲間を持たない開発者では、無理なのでしょうか?

    仲間がいないと身軽で楽ですが、やはり専門的な強みを複数持った仲間でチームを作った方がよいにきまっています。衆寡敵せず、です。また、友達や同僚、部下などでなくとも、頼りになるパートナーとしての外注先を1つぐらい持っておくと心強いですね。

    なんでも自分一人でできればそれに越したことはないですが、人間の力には限界がありますので。

2件の返信を表示中 - 16 - 17件目 (全17件中)
  • このトピックに返信するにはログインが必要です。