Joomler!.net - Decided on Joomla!

Jboard is Multiple Board!

 

Archives

Blog

Demo

Home » Blog » SQLクエリ
May
16
2009

非同期の罠

EMailPrintPDF
0 votes
Written by:Joomler! 6007 hits Saturday, 16 May 2009 17:23

Ajaxでpostしてデータベースの操作を行っていたのですが、思ったように動いてくれないんですよ。
タイトルで結論がもう見えてますが・・・。

大雑把に書くと、Ajaxでデータベースの複数の操作を行うリクエストをループで行うように書いたんです。最初は、その処理毎に(非同期がその時はちゃんと頭に入っていた。)Completeしてから次のリクエストを行うようにしていました。

けど、だんだん面倒になってきたんです。

 
1 votes
Written by:Joomler! 8063 hits Friday, 02 May 2008 17:32

前回3月のログで解析を行ったら397件のSQLインジェクション攻撃が発見されましたが、今回4月のログを再び解析してみました。

ilogscanner_200805

激減?141件でした。

なんと今回の解析後のログファイルを見てみるとすべてが、alphacontentへの攻撃でした。

ilogscanner_alphacontent

しつこいなぁ。

攻撃して穴があったら報告してくれるならいいけどそうじゃないだろうし・・・。別の意味で報告か・・・。

自分の使っているエクステンションのセキュリティレポートには絶えずアンテナを・・・。

だけど今回のインジェクション攻撃って、GETのパラメータに不正なSQLクエリを挿入するものですが、Joomla!1.0.xの場合(1.5もそうだろう)そのパラメータを取得するときにフィルターをかけているのでサニタイズされて取得するようになっています。それを知っていたので放置していたこともあったのですが、破れるクエリってあるのかなと少し不安になるくらいの攻撃数でした。

 

JContentPlus for Joomla!1.5 powered by Joomler!.net

joomler.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla!(R) name is used under a limited license from Open Source Matters in the United States and other countries.
joomler.net is not affiliated with or endorsed by Open Source Matters or the Joomla! Project.