2006年の侵入傾向分析レポート 15
ストーリー by mhatta
傾向と対策 部門より
傾向と対策 部門より
JonMoo 曰く、
ITproの記事によれば、セキュリティベンダーのラックが2006年度の侵入傾向分析レポートを発表した。これは2006年中に同社が観測したインターネット上の攻撃をまとめたもの。レポートによれば、2006年度はSQLインジェクションが前年度に比べて7倍確認されたとのこと。また、2006年度の特徴として、これまでのような市販アプリケーションへの攻撃ではなくユーザー企業などが独自に作成したアプリケーションを狙う攻撃が増加し、全体のおよそ7割を占めたとのことである。独自のWebアプリがどんどん増える昨今、皆さんも注意しましょう。
普通の事しか書いてないね (スコア:2)
- XOOPS。XOOPS-JPプロジェクト版 [xoops.org]ならともかく、(簒奪)本家版は…といっても XOOPS-JP は Secure を目指しても、バックエンドに PHP の、しかも 4 系推奨じゃ、そっちが脆弱性出すからねぇ。PHP は入れたらアウトというか、「際限無い脆弱性発覚→パッチ適用」決定! って感じだし。覚悟して PHP 入れてる人間なんか居ないんじゃないの? 「判ってないから入れる」が大半のような。PHP って、元はセキュリティ考えないで作ったしね。
- phpBB。これは特に「入れたら改竄されるのは覚悟だな」級の、重大脆弱性乱発モノ。
- Wiki って、どの Wiki を指しているのか不明だけど、Wiki クローンは脆弱性を出してるのもあるね。まあ、コンテンツがブラウザから書けるという仕組みから、最初からセキュリティーを重視して開発された Wiki クローンでないと、動かすのは危なっかしいかな。
後は、安直なパスワードで ssh とかも、ヤラれる常套パターンですね。(今どき FTP なんて、公開サーバーで動かしてるだけでアウトですけどね) ま、OpenSSH はリモートの脆弱性が発見されると速攻で狙われるけど、昨年は無事だったが。SQLインジェクションの脆弱性のあるサイトをスキャンするツールが出回っているというのは、肝に銘じておく必要がありますね。サイト運営者はヤラれる前にチェックして対策しないと。
そりゃそうだ (スコア:1, すばらしい洞察)
Re:そりゃそうだ (スコア:2, すばらしい洞察)
Re:そりゃそうだ (スコア:2, 興味深い)
/プログラマの皆さん/開発標準/ もしくは
/プログラマの皆さん/現場/ だろう。
経営者は無知。現場は無視。
# 特に携帯コンテンツがひどいのはなんとかならんのか
# サービスインの実績重視なのはわかるけどさ。
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
Re:そりゃそうだ (スコア:0)
そもそも知識があるなら少なくとも詳細設計に落とし込む所で既知の穴がある
ような設計にはしないわけで。
外部から指摘されても直し方が分からないから無視してるように見えるだけかと。
Re:そりゃそうだ (スコア:0)
作る人「セキュリティが、」
上の人「べつにいいじゃん。やれ」
ってな感じの会話ですな。
# あれなので、AC
Re:そりゃそうだ (スコア:1)
こう言う人が居るのはテスターに対する認識が低いからなんだろうなぁ・・・
特に経営者。
Re:そりゃそうだ (スコア:0)
そんなプログラマの会社とはつきあいを止めた方が良いでしょう。
プログラマは何をやらなければならないか分かっています。
工数にそれが含まれない=予算と機能ありきの見積書を営業が作ってくるからです。
納期(サービス開始日)だけががっちり決まってるから、現場は「動くこと」を第一に進めなきゃならない。
テストやセキュリティ検査に人手も時間もかかるということを営業も客も分かってなさすぎ。客はSSLの証明書とベリサインのマークにはやたら拘るけど、そのくせ金払って証明書取ればそれで安全だくらいにしか思ってない。
現場としては「たまにはこんなやっつけじゃなくて、ちゃんとしたもの作りてぇよ」と思ってるんですよ。
Re:そりゃそうだ (スコア:0)
今の生活が重要だから、取り合えずちゃっちゃと上げる。
それで、将来の危険はメンテナンスを行う他の人がかぶるってくれるから無視。
もし、仕事を依頼する側であるならば、きちんとその辺りの目的の違いを理解して置いて、テストするとかコーディング基準を作るなど考えなければいけないし、その辺り省かれそうで有ればリスクを説明する。
現状への不満は誰でも言える。不満を言っておしまいじゃあねえ。
Re:そりゃそうだ (スコア:0)
いわゆるWebで商売している「ITベンチャー企業」はセキュリティは二の次。
「そんなことどうでもいいから金になる仕事をしろ」みたいな感じで。
一方、某著名ポータルサイトの元請になった会社でセキュリティ上の問題を指摘したら、
ちゃんと直すことをリニューアル時の工程に含めてくれた。
(問題の影響が大きく、また、元請の会社の上司が問題を認識し、客先に説明したからかもしれんが。)
言える事は、開発現場と経営者の意識の問題。
クラッキング手法にも一過性のITトレンドがある? (スコア:1)
ってことは、セキュリティ分野の商売は、一過性の特需が起こり易い分野ってことか。
人の不安に付け込む商売(←人聞きが悪い)だから、「風が吹けば桶屋が儲かる」的な分析が効く。姉○建築士の事件で、構造計算事務所に特需が訪れたように、セキュリティ分野にも、そんな類の特需が訪れたり?
でも、セキュリティ製品を販売する企業が、故意に(過剰に)社会不安を煽ったり仕掛けるのは、やっぱり駄目かも。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:クラッキング手法にも一過性のITトレンドがある? (スコア:2, すばらしい洞察)
レポートを流し読みしました (スコア:1)
この分ならIPフィルタするだけで国内向けサービスは安泰なんじゃ;-)
とはいえ、SQL Injectionは2001年ぐらいから危険性を指摘されていることもあり、
攻撃が7倍に増えてはいますが実害には変化がなく空振りのようです。
Re:この世から中国と朝鮮半島が消滅するだけで (スコア:0)