■ このスレッドは過去ログ倉庫に格納されています
【脆弱性】人材派遣のアスカ SQLインジェクション攻撃され個人情報流出 アスカ「SQLi対策の確認したことなかった」 [雷★]
- 1 :雷 ★:2020/07/14(火) 15:08:23 ID:NqK4lbtf9.net
- 人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
7/13(月) 6:15
(略)
■アスカはどのように情報流出したのか
アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。
「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。
SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。
2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。
■SQLインジェクションは古典的な攻撃方法
インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。
また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。
(略)
https://news.yahoo.co.jp/articles/7a9b6fbd340df0f908d16ab9b6a1990074f2bc00&page=2
- 2 :不要不急の名無しさん:2020/07/14(火) 15:09:04 ID:56gwDX7Z0.net
- エスケープ処理くらいしておけ
- 3 :不要不急の名無しさん:2020/07/14(火) 15:09:06 ID:4bl+W7or0.net
- あんたバカ
- 4 :不要不急の名無しさん:2020/07/14(火) 15:09:37 ID:EGk346+I0.net
- チャゲの仕業
- 5 :不要不急の名無しさん:2020/07/14(火) 15:10:27 ID:WITk1vkN0.net
- それ以前になんてわそんなデータベースを外に繋げてたんだ
よそから見る必要なんてないだろ
- 6 :不要不急の名無しさん:2020/07/14(火) 15:11:38 ID:sPbGDiob0.net
- >>5
わかってない奴発見
- 7 :不要不急の名無しさん:2020/07/14(火) 15:11:51 ID:RmZeY00Y0.net
- >>5
そういうものではないな
- 8 :不要不急の名無しさん:2020/07/14(火) 15:12:03 ID:JWRbsMq30.net
- 犯人はギフハブ
- 9 :不要不急の名無しさん:2020/07/14(火) 15:12:14 ID:rr54jzNr0.net
- 自信があるから電話はしません!
つってたアスカとは別なんかえ
社長がCM出てて、寺門ジモンが乗り移った今でしょ!の林先生みたいな顔の
- 10 :不要不急の名無しさん:2020/07/14(火) 15:13:13 ID:QYDZr+Ld0.net
- ギフハブの鯖落ちはこのためだったのか!!
- 11 :不要不急の名無しさん:2020/07/14(火) 15:13:14 ID:sCNd7aLY0.net
- >>5
そんな意識だからエスケープも知らないんだと思う
しかしま、まさかこのご時世こんなお粗末なシステムがあるとは思わなかった
- 12 :不要不急の名無しさん:2020/07/14(火) 15:13:55 ID:2od3LoR10.net
- >>5
えっ?外部接続なしで会員登録サイトを!?
- 13 :不要不急の名無しさん:2020/07/14(火) 15:14:11.50 ID:nIcMxHOf0.net
- 注射とかゴトかよwww
- 14 :不要不急の名無しさん:2020/07/14(火) 15:14:40.07 ID:5z43qVPh0.net
- いつの時代だよw
- 15 :不要不急の名無しさん:2020/07/14(火) 15:14:44.99 ID:gcXhLPR60.net
- 「インターネット上の掲示板には犯行声明とみられる投稿があった。」
↑
5ちゃんねらーは犯罪者だ
おまえらは、犯罪者予備軍だぞ?
- 16 :不要不急の名無しさん:2020/07/14(火) 15:15:25.90 ID:AoP4m9XQ0.net
- 自信があります
- 17 :不要不急の名無しさん:2020/07/14(火) 15:15:28.64 ID:3BtjBHO/0.net
- >>3
>>2だったら評価変わってたと思う どんまい
- 18 :不要不急の名無しさん:2020/07/14(火) 15:16:33 ID:XjHu1TS00.net
- 自信があるからお電話は一切いたしません!!
- 19 :不要不急の名無しさん:2020/07/14(火) 15:16:40 ID:5z43qVPh0.net
- うんこセキュリティに高い保守料払ってたんだろなー
- 20 :不要不急の名無しさん:2020/07/14(火) 15:16:53 ID:YqO7B0eA0.net
- 2FAも知らなかった自称IT企業の社長もいたな
セブンペイだっけw
どこに飛ばされちゃったのかな
- 21 :不要不急の名無しさん:2020/07/14(火) 15:17:38 ID:qxGqLgZS0.net
- 昭和かよ
- 22 :不要不急の名無しさん:2020/07/14(火) 15:18:08 ID:aUsndzPI0.net
- 今時そんなことあるんだ
- 23 :不要不急の名無しさん:2020/07/14(火) 15:18:55 ID:pscf7G9j0.net
- >>15
またハセカラ民の悪戯かもねこれ
- 24 :不要不急の名無しさん:2020/07/14(火) 15:19:53 ID:UCZuN1ea0.net
- 今どき基本的で必須なセキュリティ対策なのですが
- 25 :不要不急の名無しさん:2020/07/14(火) 15:22:55.96 ID:KsKnUOfr0.net
- >>5
登録者のデータ自体が売り物
派遣会社は従業員を奴隷としか思ってない
- 26 :不要不急の名無しさん:2020/07/14(火) 15:23:24.14 ID:XGPNtqAf0.net
- 5chでさえSQLインジェクションのチェック用クエリ書き込もうとするとセキュリティで弾かれるというのに…
- 27 :不要不急の名無しさん:2020/07/14(火) 15:25:45 ID:O6+dlsso0.net
- >>12
営業「できらぁ!」
- 28 :不要不急の名無しさん:2020/07/14(火) 15:25:54 ID:Uhx8YK9g0.net
- >>25
奴隷じゃないよ商材だよ
- 29 :不要不急の名無しさん:2020/07/14(火) 15:25:57 ID:QtHNu09o0.net
- 派遣の情報なんか知って何のメリットがあるの?
百貨店の外商顧客リスト盗むならわかるけどさ
- 30 :不要不急の名無しさん:2020/07/14(火) 15:25:57 ID:aR7fmFvW0.net
- 基礎の基礎の基礎なのに
- 31 :不要不急の名無しさん:2020/07/14(火) 15:28:11.10 ID:/CBucWCK0.net
- 派遣はくたばれ
- 32 :不要不急の名無しさん:2020/07/14(火) 15:30:46.66 ID:nSM6rxHr0.net
- 自分自身に「あんたバカァ?」
- 33 :不要不急の名無しさん:2020/07/14(火) 15:31:16.58 ID:kORQluQg0.net
- SQL文まるごと引数で受け取って実行しちゃうアレだっけ?
- 34 :不要不急の名無しさん:2020/07/14(火) 15:31:30.02 ID:y1C1N9Qt0.net
- 2月2日 アスカ五郎を殺したのは貴様か!?
- 35 :不要不急の名無しさん:2020/07/14(火) 15:32:53 ID:CSW1h7aq0.net
- と40歳児無職が申しております
- 36 :不要不急の名無しさん:2020/07/14(火) 15:33:37 ID:yUliSQ0r0.net
- 昔そんなやり取りがあったブログあったよなあ。オンラインバンキングのサイトを作る話で。
「セキュリティは大丈夫ですか」
「SSL 通信なので大丈夫です(キリッ)」
「SQL インジェクションに対抗するためのサニタイジング云々…」
「えすきゅうえる?! なんだかよく分からんが、通信は暗号化されているのだからそんな対策する必要ない!」
(ここでSQLインジェクションを用いたハッキングを実践)
(ログも確認してもらい、ハッキングの痕跡も残らなかったことを実証する)
「なんだかよく分からんが、とにかくそんなものをする必要はない!」
その後、ブログ主は別のルートで担当を変えるように言ったらしいけど、どこの銀行だったんだろうねー
- 37 :不要不急の名無しさん:2020/07/14(火) 15:35:45 ID:rZBHyaS80.net
- 同業他社が、奴隷派遣の引き抜き用かな?w
馬鹿な派遣社員がまだまだ沢山居るお陰で竹中は笑いが止まらんだろなw
- 38 :不要不急の名無しさん:2020/07/14(火) 15:38:59.71 ID:tCmmDil+0.net
- >>33
検索ワードをsqlとして受け取るって方がしっくり来るんかな
例えば検索窓に
田中太郎 or A=A
こんなのを入力するとか(or以降により判定が全て真となり全部ぶっこ抜かれる)
- 39 :不要不急の名無しさん:2020/07/14(火) 15:44:37.07 ID:pdueTwNe0.net
- >>5
リモート勤務のせいだろ
- 40 :不要不急の名無しさん:2020/07/14(火) 15:50:16.34 ID:O6+dlsso0.net
- >>28
商品を椅子に押し込むだけで毎時お金が入る仕組みだからな
だからテレワークとかで無駄なコストは絶対に避けたい
- 41 :名無しさん@13周年:2020/07/14(火) 15:58:03.00 ID:dKgvILhrA
- 自分のところの商品に構築させればよかったのに
- 42 :不要不急の名無しさん:2020/07/14(火) 15:54:26.57 ID:n1Iz8E1m0.net
- 今時これが効くとは
- 43 :不要不急の名無しさん:2020/07/14(火) 15:54:29.02 ID:MINphA6o0.net
- ITに疎いにも程がある
ITパスポートレベルでもSQLインジェクションを学ぶだろ
- 44 :不要不急の名無しさん:2020/07/14(火) 15:55:01.30 ID:qOo96m1X0.net
- パラメータ化してる。
- 45 :不要不急の名無しさん:2020/07/14(火) 15:55:36.57 ID:snMs5NuH0.net
- わかりません、しりませんは通じないよ
- 46 :不要不急の名無しさん:2020/07/14(火) 16:00:33 ID:qGqywzqI0.net
- まあこいつら自身はシステム屋じゃあねーからなぁ
- 47 :不要不急の名無しさん:2020/07/14(火) 16:01:20 ID:PL4h5Uge0.net
- かかり易さとか燃費とかどうでもいいだろ
やっぱり漢ならキャブ車だよな!
- 48 :不要不急の名無しさん:2020/07/14(火) 16:13:41.58 ID:RVnlBN4t0.net
- システムの構築や運用はプロに委託するだろ。
- 49 :不要不急の名無しさん:2020/07/14(火) 16:16:01.33 ID:Vbi7QLXk0.net
- 罰則がないからな。
そらセキュリティなんてスルーですわ。
- 50 :不要不急の名無しさん:2020/07/14(火) 16:16:42.32 ID:QuFAB/rT0.net
- 栩内とキメセクした奴
- 51 :不要不急の名無しさん:2020/07/14(火) 16:46:09.74 ID:srBt3l4L0.net
- ハハハ
- 52 :不要不急の名無しさん:2020/07/14(火) 16:50:06 ID:uiChVFIv0.net
- こんな基本中の基本
さすがIT白亜紀国
- 53 :不要不急の名無しさん:2020/07/14(火) 16:51:55 ID:MdxJUVgC0.net
- だから全角だけOKに!!
- 54 :不要不急の名無しさん:2020/07/14(火) 16:52:36 ID:JbH+eWD00.net
- インジェクションなんか
記号類の入力テスト一通りやってりゃ普通はわかるもん
- 55 :不要不急の名無しさん:2020/07/14(火) 16:54:20 ID:qOT7lCpy0.net
- データベースの講義で最初の方に習った
- 56 :不要不急の名無しさん:2020/07/14(火) 16:55:12.32 ID:K7ISDv8k0.net
- SQLインジェクション対策しないとか今どきあるのかよwwww
- 57 :不要不急の名無しさん:2020/07/14(火) 16:56:30 ID:iUZ5Gji80.net
- ?使えばいいやつ?
- 58 :不要不急の名無しさん:2020/07/14(火) 16:57:16 ID:dnJAIK0s0.net
- GIジョーの本で習ったわ懐かしーな
- 59 :不要不急の名無しさん:2020/07/14(火) 16:59:37.39 ID:3BKJSA090.net
- >>2
それ絶対やっちゃいけない方法
- 60 :不要不急の名無しさん:2020/07/14(火) 17:07:11 ID:2q1jq+5Z0.net
- SQLインジェクション未対策もお粗末だけどリスキーな個人情報を平文で格納しとったんか
- 61 :不要不急の名無しさん:2020/07/14(火) 17:15:15.81 ID:km80LWZ10.net
- >>59
いや対策はエスケープ処理だぞ
- 62 :不要不急の名無しさん:2020/07/14(火) 17:15:34.75 ID:km80LWZ10.net
- >>57
そう
bindね
- 63 :不要不急の名無しさん:2020/07/14(火) 17:15:57.12 ID:reEBfB9r0.net
- あんたバカあ????
- 64 :不要不急の名無しさん:2020/07/14(火) 17:16:42.97 ID:sm4MELQp0.net
- で、ATフィールドは全開やったん?
- 65 :不要不急の名無しさん:2020/07/14(火) 17:16:52.21 ID:qRKKgUc50.net
- 古典的手法にやられるって…
- 66 :不要不急の名無しさん:2020/07/14(火) 17:23:52 ID:XpryIFHw0.net
- gifHubの仕業か
- 67 :不要不急の名無しさん:2020/07/14(火) 17:29:16.02 ID:UCZuN1ea0.net
- ORM使わないSQL直書きの古いシステムだったのだろうか?
- 68 :不要不急の名無しさん:2020/07/14(火) 17:30:11.37 ID:I9NLC55o0.net
- アスカって飛鳥ってかくが単に枕詞アスカそのものは朝鮮語
明日香村ですら公式に言ってるんでネトウヨは歴史修正頑張れ
- 69 :不要不急の名無しさん:2020/07/14(火) 17:31:02.96 ID:2L3eqI4b0.net
- >>2
サニタイジングな
- 70 :不要不急の名無しさん:2020/07/14(火) 17:53:01 ID:7yFhEluc0.net
- 今時、データベースを使うなんて・・・
時代はクラウドなんですよ
- 71 :不要不急の名無しさん:2020/07/14(火) 17:53:39 ID:kNcTRycd0.net
- アスカと言われて
50代:デビルマン
40代:チャゲじゃないほう
30代:アンタバカァ
20代:ガンダム種死の主人公
- 72 :不要不急の名無しさん:2020/07/14(火) 18:13:00 ID:qP9f1mJU0.net
- 素人がつくったの?(笑)
- 73 :不要不急の名無しさん:2020/07/14(火) 18:25:15.21 ID:km80LWZ10.net
- >>69
サニタイジングの方法の一つがエスケープ処理
- 74 :不要不急の名無しさん:2020/07/14(火) 18:28:12 ID:kUlwY2pO0.net
- 【電脳】日本のIT力を低迷させたSIerの罪、ご用聞きが客の怒りを買う理由とは
https://asahi.5ch.net/test/read.cgi/newsplus/1594713749/
- 75 :不要不急の名無しさん:2020/07/14(火) 19:05:02.90 ID:c6Ee0hz70.net
- ゆうちゃん早く捕まえろよ
- 76 :不要不急の名無しさん:2020/07/14(火) 19:06:56.97 ID:uuPjz0T90.net
- 「ボクの作った掲示板」レベルのお粗末さ
- 77 :不要不急の名無しさん:2020/07/14(火) 19:08:25 ID:sjFhTLQc0.net
- https://i.imgur.com/EaOtYBG.jpg
- 78 :不要不急の名無しさん:2020/07/14(火) 19:09:12 ID:XuWkH2aS0.net
- >>1
>
> ■SQLインジェクションは古典的な攻撃方法
>
> インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。
は?w
データベース設計www
ほんと詳しいのかよw
- 79 :不要不急の名無しさん:2020/07/14(火) 19:12:54.69 ID:5Ndir8110.net
- パラメータとか使えない言語なのかな?
- 80 :不要不急の名無しさん:2020/07/14(火) 19:14:46.97 ID:km80LWZ10.net
- ORM使わない時点で推して知るべし
- 81 :不要不急の名無しさん:2020/07/14(火) 19:16:41.71 ID:chZtoX8U0.net
- マギの占拠は本部のそれと同義
まで読んだ。
- 82 :不要不急の名無しさん:2020/07/14(火) 19:20:55 ID:/V4bbkMa0.net
- >>78
クソワロタ
こらIT後進国なるわ
- 83 :不要不急の名無しさん:2020/07/14(火) 19:26:35.64 ID:nmcR35St0.net
- デ、デデン
- 84 :不要不急の名無しさん:2020/07/14(火) 19:27:00.58 ID:BbYiE+tL0.net
- 薬物アスカ「集団ストーカーされてる」
- 85 :不要不急の名無しさん:2020/07/14(火) 19:29:50.08 ID:Vd19qef90.net
- 俺がLANケーブル引っこ抜いてやろうか
最強のセキュリティ
- 86 :不要不急の名無しさん:2020/07/14(火) 19:30:38.84 ID:n9zmNF8x0.net
- 人材派遣
非正規に仕事させてピンはね
不況になれば解雇
ひどい会社だ
- 87 :不要不急の名無しさん:2020/07/14(火) 19:34:39 ID:6jzakFy10.net
- あんたバカぁ?
- 88 :不要不急の名無しさん:2020/07/14(火) 19:42:12.77 ID:q1V4BIV60.net
- チョンの仕業?
- 89 :不要不急の名無しさん:2020/07/14(火) 19:43:00 ID:S9zmJAe40.net
- >>38
なるほどね〜
- 90 :不要不急の名無しさん:2020/07/14(火) 19:46:43.51 ID:gX38wWkZ0.net
- >>23
まさにその通りだよ
今、唐澤貴洋掲示板で流出した全員の名前が誰でも見られるようになってる
- 91 :不要不急の名無しさん:2020/07/14(火) 19:48:12.96 ID:hojHTeyA0.net
- 顧客の操作が直接DB操作だったら笑えるwwwwwww
- 92 :不要不急の名無しさん:2020/07/14(火) 19:48:54.01 ID:UVMzR/cM0.net
- 今どきSQLiって...
後進国すぎ
- 93 :不要不急の名無しさん:2020/07/14(火) 19:49:25.56 ID:iiugBZsZ0.net
- >>78
なんと…
何もわかってない…
- 94 :不要不急の名無しさん:2020/07/14(火) 19:50:36.42 ID:iiugBZsZ0.net
- つかWAF位入れとけよ。
- 95 :不要不急の名無しさん:2020/07/14(火) 19:52:01.10 ID:bAzy3XX80.net
- おいおいSQLインジェクション攻撃の対策してなかったとかマジかよ
普通は小学校で「SQLインジェクション攻撃には気を付けましょう」と習うだろ?
- 96 :名無し:2020/07/14(火) 19:53:59.84 ID:+qNOjFEU0.net
- あんた馬鹿ぁ
- 97 :不要不急の名無しさん:2020/07/14(火) 19:57:29.94 ID:Yb2Vrysb0.net
- >>61
根本的にはプリペアドステートメントだよ
エスケープしてから構文解析させるのは悪手で
そもそも外部からの入力を構文解析させるべきでない
今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
https://www.atmarkit.co.jp/ait/spv/1006/25/news093.html
- 98 :不要不急の名無しさん:2020/07/14(火) 19:58:33.13 ID:g/cnMyOp0.net
- テンプレートで書いてないと、そのあとは皆さん、高確率で書かないよ、
あと客が社内ユーザとかだとナァナァで書かないのもある。書かない=インジェクション対策をしない。
保守改修だとユーザが誰かハッキリ知らないから
とりあえず既存と同じように書く。
自分だけ対策すると、テスト含めて工数増えるし。
早い話が最初から書いとけ。関数化、メソッド化して他のプロジェクトでも流用すべし。
- 99 :不要不急の名無しさん:2020/07/14(火) 19:59:59.04 ID:0iSmozV+0.net
- 日本人のシステムのほとんどが馬鹿が馬鹿みたいに作ってあるから楽勝なんだろうね
- 100 :不要不急の名無しさん:2020/07/14(火) 20:04:56.13 ID:DKlVljPL0.net
- ここ最近、真面目に対策した事ねーわ。
エスケープすらしてない。
Linqがなんとかしてくれてると信じてる。
- 101 :不要不急の名無しさん:2020/07/14(火) 20:05:50.71 ID:uiChVFIv0.net
- NAKANUKIの成れの果て・・・
- 102 :不要不急の名無しさん:2020/07/14(火) 20:06:06.95 ID:upIs89Kk0.net
- 尚対策は鯖設定に一行追加するだけで行ける模様
- 103 :不要不急の名無しさん:2020/07/14(火) 20:06:09.51 ID:n0HHWDc/0.net
- >>92
今時って思うってことはそこが心理的な穴なのさ
- 104 :不要不急の名無しさん:2020/07/14(火) 20:09:10.83 ID:upIs89Kk0.net
- >>77
お前元からk
- 105 :不要不急の名無しさん:2020/07/14(火) 20:23:50 ID:aPmYnoIS0.net
- 面倒だからそのあたりはLaravelとかフレームワークに任せてるわ。
- 106 :不要不急の名無しさん:2020/07/14(火) 20:29:51.17 ID:9+nQlP8k0.net
- >>105
一緒です
生SQLの時だけ対策ですね
- 107 :不要不急の名無しさん:2020/07/14(火) 21:14:30 ID:YLHbsfbh0.net
- フローリアンの後継なのか
ジェミニの後継かわからんかった
- 108 :不要不急の名無しさん:2020/07/14(火) 22:25:07.36 ID:V7v1GhBk0.net
- 案外穴だらけなんよね
- 109 :不要不急の名無しさん:2020/07/14(火) 22:52:21.80 ID:K1fW5pYP0.net
- 古典的に個人情報を溜め込む前に
サンドボックスの様に隔離テーブルを作って
一時的にデータを貯めておいて
後日ユニオンするという方法もある
- 110 :不要不急の名無しさん:2020/07/14(火) 22:55:06.75 ID:K1fW5pYP0.net
- あ、今はデータそのものを暗号化してから格納か
- 111 :不要不急の名無しさん:2020/07/14(火) 22:58:49.91 ID:kTXZWIkl0.net
- >>29
パパ活候補者とかさがすの?
- 112 :不要不急の名無しさん:2020/07/14(火) 23:00:48.71 ID:F4+p+2e40.net
- SQLが糞だと思うけど、なかなか代わりが出てこない
- 113 :不要不急の名無しさん:2020/07/14(火) 23:11:48.15 ID:hN5uWNhw0.net
- クラウド移行が盛んになってというもの
データベースのセキュリティなんて
ほとんどノーガードで突っ切ってるシステム多いんじゃね
- 114 :不要不急の名無しさん:2020/07/14(火) 23:15:25 ID:0RXhkP0M0.net
- 簡単にサニタイズ&デコードできる方法提供してくれよ
BASE64にでもしとけばいいのか?
- 115 :不要不急の名無しさん:2020/07/15(水) 01:48:44.94 ID:1sonktsP0.net
- LANからしか読めないようにしないの?
- 116 :不要不急の名無しさん:2020/07/15(水) 07:35:11 ID:IH1TlI1e0.net
- >>115
SQLインジェクションは関係ない。
- 117 :名無しさん@13周年:2020/07/15(水) 11:15:12.63 ID:ALO60FBzo
- データベース設計の甘さとか書いちゃう自称専門家こわい
- 118 :不要不急の名無しさん:2020/07/16(木) 07:40:12.18 ID:L5zelTrP0.net
- ウチは総ストアド化してるのと、JavaスクでQuery stringとsessionパラメータチェックしてる程度なんだが、
ここの住人は具体的にどんな対策しているんだ?
- 119 :不要不急の名無しさん:2020/07/16(Thu) 10:49:55 ID:inracy680.net
- ストアドにしてもそんなかで動的SQL実行してたら意味ないぞ
- 120 :不要不急の名無しさん:2020/07/16(木) 19:24:20.23 ID:L5zelTrP0.net
- ん?
何を言ってるの?
- 121 :不要不急の名無しさん:2020/07/16(Thu) 22:06:11 ID:5xv9JSUD0.net
- >>120
PL/SQLでもPostgreSQLのストアドプロシージャで
動的にSQLを組み立てて実行する機能があるだろ
それ使ってたらアウトだ。
- 122 :不要不急の名無しさん:2020/07/16(Thu) 22:37:50 ID:5QNDcTs70.net
- >>120
検索機能とかを動的SQLで組み立てるストアドがあるとする。
キーワード検索の部分はSQLに組み込まれるだろうから、
そこにサブクエリとか記述して全く別テーブルを読めるようにしちゃう。
そんな感じ。
- 123 :不要不急の名無しさん:2020/07/16(木) 22:59:28.56 ID:tc0wUZFQ0.net
- 外注で問題が起きても
仕様を書かない客が悪い
デジタルは言わなくても勝手に治る魔法の小人の箱じゃ無い
- 124 :不要不急の名無しさん:2020/07/16(木) 23:12:20.03 ID:p8W0RgQ+0.net
- なんか懐かしいな
昔は、こんな凄い手口がある!みたいな取り上げられ方してた
- 125 :不要不急の名無しさん:2020/07/16(木) 23:24:26.49 ID:dFwl9NG30.net
- 今時SQLインジェクションの対策とってないとはショボ過ぎ
- 126 :不要不急の名無しさん:2020/07/16(木) 23:33:53.83 ID:lLcgYAoN0.net
- 今どきは関数一つかますか
それどころかサーバ側の設定で対処できなかったっけ?
- 127 :不要不急の名無しさん:2020/07/16(木) 23:34:23.19 ID:nMGaZK790.net
- >>107
羊の皮を被った狼
- 128 :不要不急の名無しさん:2020/07/17(金) 00:52:40.52 ID:3Rk5g+JN0.net
- 今時は大体ORM使うんじゃないの?
生SQL書くことあってもPreparedStatement使うし、リクエストをそのままSQLに通すってどん場面なんだろ
- 129 :不要不急の名無しさん:2020/07/17(金) 02:11:12.50 ID:HSFLoSql0.net
- ORM使ったってその実装は動的SQLだろうから
万全というわけじゃないぞ
マッパーがエスケープしそこねたらSQLインジェクションは成立する
程度の差はあるがバグだらけで手に負えなくなったstrutsと同質のリスクがあるよ
- 130 :不要不急の名無しさん:2020/07/19(日) 12:25:52 ID:h3O3bre+0.net
- LSDインジェクションかも
総レス数 130
24 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★