トップ «前の日記(2003-11-16) 最新 次の日記(2003-11-19)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2003-11-17

_ 警鐘●SQLインジェクションによる不正アクセスに注意(要ログイン)

SQLインジェクションは怖いですねぇ。1箇所でもあると、Blind 使われてデータベースの中身全部抜かれちゃうこともありますし。危険度は XSS と比べ物にならないくらい高いからめったに見つからないかと期待してるんですが、(私が過去に検査したサイトでは)XSS と同じくらいの割合で見つかってます。

SQLインジェクションが何かを知らない人が作ったサイトでもSQLインジェクションの脆弱性がないサイトもあります。特殊文字のサニタイジングはセキュリティどうのこうのにかかわらずやっておかないといけない処理でしょう。それをサボった(もしくはうっかり忘れた)ために生まれた欠陥が、場合によってセキュリティにつながってるだけ。

_ 今まで見た中で最悪のケース

http://www.example.com/some.cgi?sql=SELECT%20FROM%20sometable%20where...

笑うしかありませんでした。

本日のツッコミ(全4件) [ツッコミを入れる]
_ hiro-t (2003-11-17 14:22)

某大手PKIベンダーのページが昔そうだったような… > 最悪のケース

_ totoro (2003-11-17 14:49)

あー、FWの外に設置して、とんでもない言い訳をした、ニューオータニの近くにあるPKI会社ですね。<br>すごかったらしいですね。<br>と、人ごとの様に言う・・・。

_ Fumi-pooh (2003-11-18 09:26)

↑の件、内情はよーく知っていますが、口が裂けても絶対に言えまつぇん(-_-;)

_ totoro (2003-12-13 01:13)

これに限りなく近い物を発見した。<br>世の中、怖いねぇ

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析