10/3: Cookieを使ったSQLインジェクションの新手法

【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ | LAC
解説記事→新手のSQLインジェクション攻撃を仕掛けるボット，ラックが注意喚起：ITpro

Cookie（ユーザー情報を記録した小さなテキストファイル）によるデータの受け渡しを装って、Cookieのパラメーターとして不正なSQL文を埋め込んで実行＞データベース内のデータに＜script＞タグを付与する、という手法らしい。

攻撃対象はIIS/ASP/ASP.NET（マイクロソフト製のWEBサーバー）
ただし、Cookieからパラメーターを受け取るフレームワークはphp（サーバープラットフォームを問わず広く使われている・Wikiやブログ管理システムにも使われている）にも実装されており、そちらが影響を受けるかどうかは現在確認中なので、「M$のサーバーじゃないから安心」とは言い切れない。

問題なのは、
* WEBサーバーのデフォルトの設定ではCookieの内容がログに記録されないので攻撃されていることが分かりにくい
* ISPで用意している不正侵入検知システムやWAF（Webアプリケーションファイヤーウォール）では検知できない
という2点。

今のところ攻撃元になっているIPアドレスは「61.152.246.157」，「211.144.133.161」「211.154.163.43」（全部中国）
アクセスするスクリプトのURLは「drmyyn●cn」
利用される脆弱性は
* Microsoft Data Access Componentの脆弱性（MS06-014）
* Microsoft Access Snapshot Viewerの脆弱性（MS08-041）
* Adobe FlashPlayerの脆弱性
* NCTsoft NCTAudioFile2 ActiveXコンポーネントの脆弱性
* REALNETWORKS RealPlayer ActiveX コンポーネントの脆弱性

サーバー管理者の対応：
WebサイトのログにCookie内容を記録するように設定変更など。
（詳細は元記事の末尾を参照）

素人サイト管理者の対応：
自分のサイト・テンプレのソースに"drmyyn"が埋め込まれていないか確認。

サイト閲覧者の対応：
上記脆弱性に対する対応（不要なコンポーネント・Viewerの削除、必要なプラグインのアップデート）