PHPを狙ったコードインジェクション攻撃を周期的に観測 - ペンタ

 

ペンタセキュリティシステムズは2月22日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2016年1月版を公開した。

同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもの。2016年1月のレポートによると、1月に見つかったWebアプリケーションを狙った脆弱性攻撃は全部で28件で、前回調査の2015年12月より9件減少した。

1月で最も多かった攻撃はSQLインジェクションで15件、そのほかCross Site Scripting(XSS)が8件、Remote File Inclusion(RFI)が2件、Codeインジェクション、Commandインジェクション、Local File Inclusion(LFI)が各1件となる。

同社独自の基準で攻撃を受けた場合の危険度別に分類しており、今回は最も危険度が高い「早急対応要」が7件(25%)、次に危険度が高い「高」が21件(75%)であった。

攻撃実行の難易度別は、最も高度なスキルが必要で、攻撃に時間がかかる「難」が2件(7%)、次に難しい「中」が4件(14%)、最も攻撃実行が簡単な「易」が22件(79%)であった。

脆弱性があったWebアプリケーションは、Open Audit、ProjectSend、Simple PHP Polling Systemが各4件、Wordpressが3件、BK Mobile CMS、Advanced Electron Forum、PHPIPAM、Ramui webblog、SevOne、mcartが各2件、SeaWell Networksが1件となった。

レポートのサマリーでは、SQLインジェクション攻撃とコードインジェクション攻撃について触れている。今回のSQLインジェクション攻撃は、成功可否を問うクエリーを使用する難易度の低いものが大半であったが、一方で危険度が高かった。

SQLインジェクションの標的となったWebアプリケーションは、対象モジュールおよびプラグインに入力値検証をさらに厳しくするセキュリティパッチとセキュアコーディングを施す必要があるとしている。

コードインジェクション攻撃は、周期的に確認されている。PHP Codeインジェクションは、SQLインジェクションやCommandインジェクションと比べると危険度が低いが、多くのWebサイトがPHPで構成されているため、膨大な数のWebサイトが今後も標的とされる恐れがある。

同社は、PHPで構成されているWebサイトを使う場合、コードインジェクションに注意を払い、PHP コードインジェクションもユーザの入力値を厳しく検証し、悪意のあるコードが実行されても防げるよう注意を呼び掛けた。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

[C3TOKYO 2016]「ラブライブ!サンシャイン!!」グッズが続々 業界の熱視線も
[14:44 8/27] ホビー
「エヴァ」初のHDリマスター版がBSプレミアムで放送!5.1chサラウンドで
[14:32 8/27] ホビー
さんま、女子アナとの飲み会を計画!?「彼女がほしい」辻井伸行のため
[14:30 8/27] エンタメ
[大竹しのぶ]共演者が“関西弁”絶賛 「誰に習ったん?」の突っ込みに「忘れましたよ」
[14:22 8/27] エンタメ
[高橋愛]地元・福井県坂井市アンテナショップの一日店長 浴衣姿でまんじゅう配り
[13:45 8/27] エンタメ

求人情報