ようこそ ziosite へ ログイン | 登録 | ヘルプ

ziolog

人生デッドロック!
動画サイト開発:SQLインジェクション

http://zio3.net/MovieDev/

アクセスログをたまに眺めてたりするのですが
どうやら、うちのサイトにSQLインジェクションの攻撃を仕掛けた人がいるっぽいです。
SQLインジェクション(Wikipedia)

URLはこんな感じ(わかりやすするためURLエンコードは外してあります)

http://zio3.net/movieDev/Page/MediaView.aspx?ID=144' and char(124)+user+char(124)=0 and ''='
http://zio3.net/movieDev/Page/MediaView.aspx?ID=144 and char(124)+user+char(124)=0
http://zio3.net/movieDev/Page/MediaView.aspx?ID=144' and char(124)+user+char(124)=0 and '%25'='
http://zio3.net/movieDev/Page/MediaView.aspx?ID=144 and 1=1
http://zio3.net/movieDev/Page/MediaView.aspx?ID=144 and 1=2
http://zio3.net/movieDev/Page/MediaView.aspx?ID=144' and 1=1 and ''='


驚いたというか、自分自身の反応は、ちょっとうれしかったですね。

・初めて狙われる現場?をみれたこと
・きちんと、脆弱性を表さないレスポンスが返せたこと
・特にセキュリティを意識せずにこうなっていたこと

まぁ、自分の力というよりは.Net Frameworkで素直に構築していれば
特に問題が起こらないってだけの話なのですけどね。
下手な企業の自社Framework(笑)をつかってると逆にやばい。

Posted: 2008年5月1日 13:51 投稿者 zio

コメント

yuji1982 さん:

これはいい例ですね^^zio3++

# 5月 1, 2008 14:18

ni57n さん:

うわああ

またまたこんな小さなサイトを狙うとは・・・

そのうちDOSもやってくるかもしれませんね

# 5月 1, 2008 23:59

zio さん:

>>yuji1982 さん

さんきゅ。

>>ni57n さん

ほんと、なんでうちなんかに来たのか謎です。

逆に小さいところの方が対策できてなくて踏み台に

しやすいとかあるのかもしれませんけど。

DOSだと参るなぁ。年末に負荷オーバーでサイト停止を

食らったことがあったんで。

このときはDOSじゃなくってロジックミスでですけど。

# 5月 3, 2008 0:53

ni57n さん:

ここって動画うpできないんですよね

なんかおかしいと思ったらレンタルサーバーですか・・・

ニコニコと似たようなサイトいろいろあるんですが・・・

ZOOME ニコニコから移民殺到 アニメ本編は管理者削除

なんとか動画 とにかく重いサイト 朝でも20分の動画見るのに1時間かかる

えにろく 個人サイト(予算20万円で自宅サーバー 現在ID制限中)

ニコニコ動画 なんとか動画 えにろくがDOSの被害受けてるみたいです。

しかもサイト作って1ヶ月くらいの頃に狙われたみたい・・・

# 5月 3, 2008 13:29

zio さん:

>>ni57n さん

そうですね。お金かけないでやる。

ってのが趣旨の一つなので。

動画のアップロードは外部のオンラインストレージに

お願いします。ってのが現状です。

(いまのお勧めはFireStorage[http://firestorage.jp/])

あとアップロードを許してしまうと法的責任が

こっちにかかるのを回避できないのでなんとも。

えにろくは大丈夫なんですかね。そこらへん。

# 5月 3, 2008 15:05

ni57n さん:

著作権については えにろくはひどいです。

今期のアニメ本編見事にそろっていて 大企業のド●ンゴがどうどうとやってるんだから問題ないんだろうかな

えにろくは著作権に関してこんなのやってるhttp://any6.jp/rights.php

規模が小さい(ユーザー数1万人弱)から権利者にも知られていないんでしょう

なんとか動画はアニメがたまに削除されてます。

外部のオンラインストレージを利用したら著作権は完全ユーザー任せにできるんですかね?

法律のことは知らないんでなんともいえないです。 ただ、ソース見たら動画ファイルがzio3~にあったような・・

# 5月 6, 2008 1:05

zio さん:

自分のところは"削除してください。"

と言われてもそもそも削除する権限を自分が保持していない。

ってのが、どう扱われるかがポイントですね。

リンクを紹介しているだけ。というスタンス。

(紹介のリンクは消すことは可能ですけど。)

いろんなやり方が生まれるのはいいんじゃないですかね。

法律の方が追い付いていない。なんて話もあるので

いろいろな方法から妥当なやり方が模索されるって意味では。

(進化論みたいな)

# 5月 6, 2008 17:38

zio さん:

あ、あとうちのサイトのFTP上にあげてあるのは

ゲーム機のキャプチャしたのが主だったはず。

当然、これらについて何か言われちゃったら自分が

責任をもって削除するって方針ですね。

# 5月 6, 2008 17:41
この投稿に対する新規コメントはできません