Joomler!.net - Decided on Joomla!

Wiki or Wordpress? No it is JContentPlus.

 

Archives

Blog

Demo

Home » Blog » アンテナ
4 votes
Written by:Joomler! 6573 hits Monday, 27 July 2009 07:45

システムとしては、Joomla!もそのひとつ、エクステンションはたくさんありすぎてどれが欲しい機能を満たすものかは、試していかないと実際わかりません。また、GPLや、たとえそうでないライセンスのものがあっても、それがおのおのの環境での完動品かどうかは、また別の問題です。(それは、うちのエクステンションにも言えること)

インストールは、簡単にできてもそれが、果たしてセキュリティ面でも大丈夫なのか?

それは、どんなシステム、エクステンションに限らず同じようについてまわる問題だと思います。システムが多機能になれば、なるほど発生する問題ですよね。

でも、そのすべてを検証することは、非常に難しいことです。

 
1 votes
Written by:Joomler! 8710 hits Friday, 02 May 2008 17:32

前回3月のログで解析を行ったら397件のSQLインジェクション攻撃が発見されましたが、今回4月のログを再び解析してみました。

ilogscanner_200805

激減?141件でした。

なんと今回の解析後のログファイルを見てみるとすべてが、alphacontentへの攻撃でした。

ilogscanner_alphacontent

しつこいなぁ。

攻撃して穴があったら報告してくれるならいいけどそうじゃないだろうし・・・。別の意味で報告か・・・。

自分の使っているエクステンションのセキュリティレポートには絶えずアンテナを・・・。

だけど今回のインジェクション攻撃って、GETのパラメータに不正なSQLクエリを挿入するものですが、Joomla!1.0.xの場合(1.5もそうだろう)そのパラメータを取得するときにフィルターをかけているのでサニタイズされて取得するようになっています。それを知っていたので放置していたこともあったのですが、破れるクエリってあるのかなと少し不安になるくらいの攻撃数でした。

 

JContentPlus for Joomla!1.5 powered by Joomler!.net

デル株式会社
joomler.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla!(R) name is used under a limited license from Open Source Matters in the United States and other countries.
joomler.net is not affiliated with or endorsed by Open Source Matters or the Joomla! Project.