AJAX等web2.0を脅かす、SQLインジェクションによる悪意あるjavascript
No:151 Time[2008-04-07 21:08:59]
前にも書いたことがあると思うけども、便利なほどセキュリティは弱くなる。
最近のweb2.0等でAjaxブームであるけどもここにきて、SQLインジェクション
による悪意あるjavascriptで今後の動向が変わってくるようで危惧する。
最近のSQLインジェクションによる攻撃は検索窓からSQLインジェクションを仕掛け
悪意あるjavascriptがあるサイトからjavascriptを呼び込むというのが主流のようだが、元々がjavascriptなだけに、やろうと思えば検索窓から悪意あるプログラムを直接ターゲットサイトに入れ込むことも不可能ではないだろうし、検索窓の多くがget仕様であるから大量の情報を送くりこめないなら、断片化したプログラムで数珠繋ぎに
送りこまれる可能性もある。もともとjavascriptは出始めた当初遅かったり、セキュリティ的に問題があったため、あまり普及しなかった、しかし近年、パソコンの高性能化とともに作りこまれた物は使い勝ってが非常によくかなり普及してしまった。
ネットバンクなどでも以前はよく使われていたものである。しかし元々はセキュリティは弱いもので、最近のものはブラウザ側でかなり克服されているが、まだ何があるかわからない、ただ、せっかくの便利な品物が犯罪により衰退することは是非さけてもらいたいものである。まあ、例えばAjax.Requestなどは非同期でdom化するときは便利であるけども、multipart/form-dataは処理できない、というよりjavascriptでローカルファイルがアクセスできてはまずいのである。できれば便利この上ないのでしょうけどね。まあ、セキュリティと便利さのせめぎあいといったとこでしょうが、今はまだ便利さ優先なのかな~。
最近のweb2.0等でAjaxブームであるけどもここにきて、SQLインジェクション
による悪意あるjavascriptで今後の動向が変わってくるようで危惧する。
最近のSQLインジェクションによる攻撃は検索窓からSQLインジェクションを仕掛け
悪意あるjavascriptがあるサイトからjavascriptを呼び込むというのが主流のようだが、元々がjavascriptなだけに、やろうと思えば検索窓から悪意あるプログラムを直接ターゲットサイトに入れ込むことも不可能ではないだろうし、検索窓の多くがget仕様であるから大量の情報を送くりこめないなら、断片化したプログラムで数珠繋ぎに
送りこまれる可能性もある。もともとjavascriptは出始めた当初遅かったり、セキュリティ的に問題があったため、あまり普及しなかった、しかし近年、パソコンの高性能化とともに作りこまれた物は使い勝ってが非常によくかなり普及してしまった。
ネットバンクなどでも以前はよく使われていたものである。しかし元々はセキュリティは弱いもので、最近のものはブラウザ側でかなり克服されているが、まだ何があるかわからない、ただ、せっかくの便利な品物が犯罪により衰退することは是非さけてもらいたいものである。まあ、例えばAjax.Requestなどは非同期でdom化するときは便利であるけども、multipart/form-dataは処理できない、というよりjavascriptでローカルファイルがアクセスできてはまずいのである。できれば便利この上ないのでしょうけどね。まあ、セキュリティと便利さのせめぎあいといったとこでしょうが、今はまだ便利さ優先なのかな~。
