09/09/01 22:45:39
■ マイクロソフトIISに新たな脆弱性、検証コードも既に公開
URLリンク(internet.watch.impress.co.jp)
脆弱性は、Webサーバープログラム「IIS(Internet Information Services)」のFTPサーバー機能に存在し、悪意のあるコマンドを
送りつけることでバッファオーバーフローを引き起こし、任意のコードを実行させられるというもの。
US-CERTでは回避策として匿名ログインの書き込みを禁止する設定を推奨している。
------------------
■ Webアプリにおける11の脆弱性の常識と対策
URLリンク(www.atmarkit.co.jp)
Webアプリと切っても切れない関係にある脆弱性。11の代表的な攻撃手法を紹介しつつ、その対策も示します
XSS(クロスサイトスクリプティング)……ユーザーのWebブラウザ上で不正なスクリプトを動かす
強制的ブラウジング……アクセス権限のないファイルに直接アクセスする
SQLインジェクション……不正入力により任意のSQL文を実行させる
パラメータの改ざん……Webアプリケーションの期待する値とは別の値を送信し、誤操作させる
HTTPレスポンス分割……偽ページを多数のに人々に見せる
OSコマンドインジェクション…… 不正入力により任意のOSコマンドを実行させる
セッション管理に関する脆弱性……セッション情報の推測や盗用を行う
パス/ディレクトリトラバーサル……公開されていないファイルに直接アクセスする
バッファオーバーフロー……確保されたメモリ容量を超える入力
バックドアとデバッグオプション……開発者がアプリケーションに不正に作り込んだ入り口を利用して不正な操作を行う
エラーコード……エラーメッセージの情報を攻撃の糸口にする