SQLインジェクションでの改ざん

  • 解決済 Eiichi Uchibori

    (@eucreate)


    6年、 3ヶ月前

    4.9.8にアップしたところ、Webページ改ざんされました。

    WAF対応のサーバーのバージョンを4.9.8にししばらくしたら、
    ログが残っていたので、見てみたところ、
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%29%20UNION%20ALL%20SELECT%20NULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2cNULL%2d%2d%20DhKz
    %2fwp%2djson%2foembed%2f1%2e0%2fembed%3furl%3dhttp%3a%2f%2fwww%2eexample%2ecom%2farchives%2f34%27%20ORDER%20BY%201%2d%2d%20WPrJ
    等のSQLインジェクション攻撃のようです。

    WAFが無い,無効,適切な設定でない場合は、
    .htaccessの書き換えや、PHPファイル等の書き換え、不正なファイルの作成等の改ざんが行われるようです。

    なお、4.9.7では問題無いようです。

4件の返信を表示中 - 16 - 19件目 (全19件中)
1 2
  • トピック投稿者 Eiichi Uchibori

    (@eucreate)

    6年、 3ヶ月前

    最後に質問をしましたが、誠に勝手ながらこれでこの件は解決済みとさせていただきます。
    皆様に心よりお礼申し上げます。

    Takahashi Fumiki

    (@takahashi_fumiki)

    6年、 3ヶ月前

    @eucreate

    ご指摘の件ですが、仲間がいるかどうかというより、セキュリティに関する知見があるかどうかが問題ではないでしょうか。セキュリティ専門のエンジニアというのもいますし、最近は攻撃方法も多彩なので、継続的に情報を追っておく必要があります。

    – IPAのセキュリティ情報 https://www.ipa.go.jp/security/announce/alert.html
    – Sucuriのブログ https://blog.sucuri.net/

    他にも色々ありますが、普段からセキュリティの情報を摂取しておくことをオススメします。

    やはり、今後は私のような仲間を持たない開発者では、無理なのでしょうか?

    仲間がいないと身軽で楽ですが、やはり専門的な強みを複数持った仲間でチームを作った方がよいにきまっています。衆寡敵せず、です。また、友達や同僚、部下などでなくとも、頼りになるパートナーとしての外注先を1つぐらい持っておくと心強いですね。

    なんでも自分一人でできればそれに越したことはないですが、人間の力には限界がありますので。

    トピック投稿者 Eiichi Uchibori

    (@eucreate)

    6年前

    ついに大塚商会のサーバーで、大規模な改ざんが行われてしまったようで、非常に残念に思います。
    https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000001172

    あの時に、本家,IPA,JPCERTに報告しましたが、結局は何も対応されなかった事で、実際に被害が広がってしまいました。

    非常に残念です。

    トピック投稿者 Eiichi Uchibori

    (@eucreate)

    6年前

    私見では問題無いと思います。
    結局は大塚商会のサーバー設定に間違いがあって起きた事だと思います。
    現にサーバー設定が適正であれば被害に遭わなかった事は明白です。
    結果として私は時間をかけて調査し、それを報告した私自身が最もバカでした。

    皆様にお騒がせしてしまい申し訳ありません。
    そしてそんな私に真摯に回答をしていただいた方々に感謝申し上げます。

4件の返信を表示中 - 16 - 19件目 (全19件中)
1 2
  • トピック「SQLインジェクションでの改ざん」には新たに返信することはできません。