[セキュリティ] * SQL Serverが狙われるには理由がある (徳丸浩の日記)

---

昨今の改ざん事件で MS-SQLサーバが狙われているのは、マルチステートメント（複文; multiple SQL statements） がサポートされているからだというご指摘。 マルチステートメントは、Microsoft SQL Server と PostgreSQL と Sybase がサポートしていて、Oracle と MySQL と Microsoft Access と IBM DB2 はサポートしていないという感じだったでしょうか。 （↓）

• An Introduction to SQL Injection Attacks for Oracle Developers (Integrigy)

---

　**[pdf]**

• Allaire Security Bulletin (ASB99-04) : Multiple SQL Statements in Dynamic Queries

---

今回の手法とは関係ありませんが、MS-SQLサーバは、「xp_cmdshell」 をはじめとする（攻撃にも）便利な拡張ストアドプロシージャが豊富にそろっていたり、（2005年前半にさかんに情報漏えい事件になった） IIS/ASP の標準エラーメッセージを悪用したデータの搾取が行えたりと、SQLインジェクションが行えたあとの悪用のし易さもあって、もともと狙われやすかったとは言えますね。 （もちろん、カスタムWebアプリに SQLインジェクションが存在していること自体は、マイクロソフトや IIS や MS-SQLサーバに直接の責任があるとは言えないわけですけども。(^-^;）関連： * SQL Injection攻撃の脅威と対策について (警察庁)

---

　**[pdf]**[雑談] * DELLキーボード神配列でワロタｗ (ニュース超速報！)

---

それよりも、* 字幕入力用キーボード（StenoWord）

---

、なんでこんなに速く打てるの？！(汗[セキュリティ] * HackerSafe証明書に偽りあり？ (ZDNet)

---

textileMcAfeeの広報担当者は、同社はXSS脆弱性をSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSSの脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。

これは、XSS は見つけていた（けれども、XSS だけでは不適合にしていないのだ）という主張なのでしょうか。(^-^;　 この文脈からすると、さすがに SQLインジェクションが見つかったら不適合になるわけですよね。 そして、もし、あるサイトに SQLインジェクションがあり、かつ、ハッカーセーフのシールが付いているとしたら、それは今度こそ検査漏れということになるわけで... サウンド○ウスとかｗ[雑談] 某ＭＬの“皆で一緒に考えましょう”最近、某ＭＬが「アツイ」というウワサを聞いたので入ってみたｗ　勉強会の運営用のＭＬかと思いきや、そんなわけでもないらしい。 巻き込まれないように傍観していようと思うｗ　くだんの件は、奇数目ビット、偶数目ビット“を抜き出したもの”と書いてあれば親切だったと思うが、でも、それらの XOR を取ったものを運ぶと書いてある時点で、XOR＝元データとなってしまい勘違いに気づきそうなものだ。(^-^;