セキュリティ ボードリーダー:河端 善博
毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。
2002年1月23日
『パスワード再チェック 他』
年度末ですね。4月に向けて、納品、新システムのカットオーバーなど急ぎの仕事が増えているのではないでしょうか。
あるいは、厳しい経済状況の中、次年度の予算確保、投資が必須の部分の洗い出しに追われているのではないかと思います。
こんなときにこそ、セキュリティのチェックをしておきましょうね。
クラック、侵入による緊急対策予算が発生しないように。
■パスワード再チェック
ワームがありましたね。SQL Server の sa のパスワードが空になっていることを狙うもの。さて、しばらく時間が経過して、忘れてしまっていること はありませんでしょうか。
インターネットからアクセスできる可能性がある部分は特に、パスワードの設定漏れがないか、再確認してください。
もし、パスワード設定漏れがあり、データベースまたは、OS に侵入された形跡があるのであれば、きちっとした対応をお願いいたします。
パスワードを変えて、ウィルス感染の確認をして終わり、なんてことをしないように。。
なお、sa パスワードをねらった攻撃は、いまも行われており、日本でも時折 発生しています。
■サニタイジング漏れ再チェック
XSS というキーワード、開発者、設計者、テスト者に徹底できていますでしょうか ?
ASP の時も、ASP.NET になっても、あるいは他の開発ツールを利用する場合も、サニタイジング対策方針が徹底されているか再確認していただければと 思います。
入力値チェック、出力時のサニタイジング、アドホッククリエー構成などで漏れの内容にする必要があります。
■SQL Server 2000 サービスパック 3
久しぶりのサービスパックです。
まだ、内容の確認ができていません。
もし、よろしければ、セキュリティメーリングリストに情報をいただければと思います。
さて、データベースに関連する行動目標を考えつつ、開発に埋没します。
ボードリーダーレポート トップページへ
PASSJメールニュース
著作権ついて
プライバシーポリシー
リンクポリシー
お問い合わせ
(C) 2005 Professional Association for SQL Server Japan. All rights reserved.
