万事とは?
|
念願のWeb担当業務に異動した星野君。配属初日にセミナーのWeb申し込みフォームを3日で作る仕事を押し付けられた(第1回)。4カ月も管理者不在で放置されていたWebサーバを調べてみれば、「admin」だとか「test」だとか「old」という名前を付けられたファイルやフォルダが存在している。極め付きの大穴は、会社のWeb管理システムにSQLインジェクションが存在したこと(第2回)。 親友の山下君、メールでしか言葉を交わしたことのない「まこと先輩」の助けを得て、次々と浮かび上がるトラブルを解決する星野君に、心の休まる日は来るのだろうか? Web担当の仕事にもようやく慣れ始めた星野君。会社のWeb戦略が少しずつではあるが固まってきたこともあって、ちょこちょことした細かい要望に応える仕事をこなしていた。配属当初はどうなることやらと不安で仕方なかったが、比較的順調に進んでいるように思えた。 そんな星野君であるが、今日はとても気になることがあった。それは高橋さんだ。喫煙室に異動になったのかと思うほど席にいなかったのに、今日は珍しく席に座って仕事をしている。 「うちの会社のWebページでSQLインジェクションを発見したんだって? メールで見たよ。セキュリティに詳しいんだね〜」 「いやいや、ちょっと試したらできちゃって……。ホント最近勉強し始めたばかりなんですよ……」 星野君が発見したSQLインジェクションとは、会社のWebサイト管理ツールに存在した脆弱性だ。まこと先輩の助けを借りながらも穴はふさいでおいた。 星野君が高橋さんとまともに会話をするのはこれが初めてだったが、「意外に喋りやすい人だ」と思った。 「あ、そうだ。いまのWebサーバに新しいシステム入れるんだけどさ、サーバの状態とか教えてくんない?」 話を聞いてみると、顧客向けの新しいサービスを展開するためのWebアプリケーションを導入することになったらしい。星野君が調べた範囲では侵入の形跡を見つけることができなかったとはいえ、SQLインジェクションの件を考えると、いまのWebサーバを置き換えたいと思っていた。OSごと一度入れ替えた方がいいということを熱弁し、何とか新しいサーバを用意して置き換えるという方向で話がついた。 星野君にはWebサーバと新しいWebアプリケーションの話以外にも高橋さんに聞きたいことがあった。思い切って聞いてみることにした。 星野君は一瞬“5箱”の聞き間違いかと思ったが、1本6分計算でも、5箱吸い切るには10時間もかかる。いくらなんでもそれは無理だろう。仮にそうだとしたら、ある意味尊敬に値する。 じゃあ、いつも何をしていたんだろう……。実は、ああ見えてちゃんと仕事をしていたのかもしれない。 OpenIDをとりまくセキュリティ上の脅威とその対策 (2007/11/20) さまざまなWebサービスが対応を表明し、より身近な技術となったOpenID。ところで、OpenIDのセキュリティ対策はどうなっているのでしょうか トラブルシューティングはCentOS 5におまかせ (2007/11/15) リリースから半年が過ぎたCentOS 5、もう使っていますか? これにはSELinuxの運用をもっと楽にしてくれる便利なツールが追加されています ヘルスチェックしてる? 怠ってはならないDNSのケア (2007/11/9) DNSやDHCP、安定稼働しているからといって放っていたりしませんか? ネットワークを支える要となるサービスにもう一度注目しよう 脆弱なホストを狙った不正中継を見抜く (2007/11/7) 攻撃者は設定ミスや脆弱性を残しているマシンへどのように攻撃してくるのか? 踏み台にされないために、その見抜きかたを知っておこう ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン @ITトップ|Security&Trustフォーラム トップ|会議室|利用規約|プライバシーポリシー|サイトマップ |
[ 90] Webアプリ、入力チェックで万事OK? − @IT
[引用サイト] http://www.atmarkit.co.jp/fsecurity/rensai/hoshino03/hoshino01.html
