もし、利用しているosCommerceが2007年2月のoscommerce-2.2ms1j-R8.tar.gzより前のバージョンをいまも利用していたら、すぐに、R8と同じ対策を行うか、さもなければ、使用をやめたほうがいい。せめてアクセスログを常日頃から確認すべきだと思う。
私のお客様には説得して対策を行ったが、費用がかかるためまったく対策していないosCommerceも存在しているはずだ。
営業のためosCommerceのサイトを検索するがエラーを表示したままのサイトや打ち捨てられたようなosCommerceもある。
このようなosCommerceは格好の標的になる可能性があるのですぐに修正するか、osCommerceを削除するほうがいい。
かなり大規模なサイトで常にメンテナンスされているようなサイトもSQLインジェクションの脆弱性はそのまま放置されているところも多数有ることに驚いた。 営業のついでに古いosCommerceの危険性を知らせているが真剣に聞いてもらえるかこれまでの経験から自信が無い。
想像を越えた数のアクセスと攻撃手法を実際に見ると脆弱性が存在したままosCommerceを運営することは危険であり、顧客に対して無責任と言われても仕方ない。
メールに反応はないかもしれないが今後も危険性を知らせたいと思う。