PHPを狙ったコードインジェクション攻撃を周期的に観測 - ペンタ

  [2016/02/25]

ペンタセキュリティシステムズは2月22日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2016年1月版を公開した。

同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもの。2016年1月のレポートによると、1月に見つかったWebアプリケーションを狙った脆弱性攻撃は全部で28件で、前回調査の2015年12月より9件減少した。

1月で最も多かった攻撃はSQLインジェクションで15件、そのほかCross Site Scripting(XSS)が8件、Remote File Inclusion(RFI)が2件、Codeインジェクション、Commandインジェクション、Local File Inclusion(LFI)が各1件となる。

同社独自の基準で攻撃を受けた場合の危険度別に分類しており、今回は最も危険度が高い「早急対応要」が7件(25%)、次に危険度が高い「高」が21件(75%)であった。

攻撃実行の難易度別は、最も高度なスキルが必要で、攻撃に時間がかかる「難」が2件(7%)、次に難しい「中」が4件(14%)、最も攻撃実行が簡単な「易」が22件(79%)であった。

脆弱性があったWebアプリケーションは、Open Audit、ProjectSend、Simple PHP Polling Systemが各4件、Wordpressが3件、BK Mobile CMS、Advanced Electron Forum、PHPIPAM、Ramui webblog、SevOne、mcartが各2件、SeaWell Networksが1件となった。

レポートのサマリーでは、SQLインジェクション攻撃とコードインジェクション攻撃について触れている。今回のSQLインジェクション攻撃は、成功可否を問うクエリーを使用する難易度の低いものが大半であったが、一方で危険度が高かった。

SQLインジェクションの標的となったWebアプリケーションは、対象モジュールおよびプラグインに入力値検証をさらに厳しくするセキュリティパッチとセキュアコーディングを施す必要があるとしている。

コードインジェクション攻撃は、周期的に確認されている。PHP Codeインジェクションは、SQLインジェクションやCommandインジェクションと比べると危険度が低いが、多くのWebサイトがPHPで構成されているため、膨大な数のWebサイトが今後も標的とされる恐れがある。

同社は、PHPで構成されているWebサイトを使う場合、コードインジェクションに注意を払い、PHP コードインジェクションもユーザの入力値を厳しく検証し、悪意のあるコードが実行されても防げるよう注意を呼び掛けた。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

父の告白を聞いた有森也実は…『ファミリーヒストリー』
[05:15 5/26] エンタメ
[刑事7人]東山紀之主演の刑事ドラマが1年ぶり復活 7月から第2シリーズ放送へ
[05:00 5/26] エンタメ
東山紀之、『刑事7人』第2シリーズで要望「高いプロ意識で生きる男たちを」
[05:00 5/26] エンタメ
清野菜名×ディーン・フジオカのドラマ「はぴまり」原作イメージのビジュアル
[04:00 5/26] ホビー
[トリンドル玲奈]「カフェオーレ」新CMでくつろぎの表情
[04:00 5/26] エンタメ

特別企画 PR

求人情報