LogiSense社の複数のアプリケーションにSQLインジェクションの可能性 | ScanNetSecurity
2026.07.15(水)

LogiSense社の複数のアプリケーションにSQLインジェクションの可能性

◆概要:
 報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

国際 海外情報
◆概要:
 報道によれば、LogiSense社のHawk-i Billing、Hawk-i ASP、DNS Managerで用いられているログオンフォームにSQLインジェクションの可能性がある。当該記事の掲載時点では、詳細は公開されていない。

 Hawk-i Billingは請求書作成アプリケーションである。Hawk-i ASPは、社内で顧客管理システム、請求書作成システムを維持しながら通常必要とされるコストを削減し、労力を軽減する。DNS Managerは、ベースとなるウェブサービスとの関係を維持しながら大量のドメイン、サブドメインの管理を簡素化するウェブをフル活用した中央ソリューションである。製品の詳細は、
http://www.logisense.com/solutions.html で入手可能。

◆情報ソース:
 BugTraq (Edward Fahner, akatosh@rains.net), June 04, 2002

キーワード:Other: Server application

◆分析:
 (iDEFENSE米国)SQLインジェクションにより、SQLコマンドを作成、または既存のSQLコマンドを変更して、本来ならばアクセスできないデータにアクセスしたり、場合によってはホストでシステムレベルのコマンドを実行したりできる。攻撃の成否は、入力の検証ルーチンが存在しないか、または不十分かどうかによる。多くのウェブアプリケーションで用いられているセキュリティモデルでは、SQLクエリーは信頼できるコマンドであると想定されている。すなわち、SQLクエリーはアクセスコントロールを回避でき、その結果、標準的な認証や認証チェック、この場合はログオンフォームを回避する。場合によっては、SQLクエリーがホストのオペレーティングシステムレベルのコマンドにアクセスできる可能性がある。

◆検知方法:
 上述のアプリケーションの全バージョンで、問題がある可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【17:51 GMT、06、04、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  3. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop