• Twitterでシェア
  • Facebookでシェア

とある診断員とSQLインジェクション

テクノロジー カテゴリーの変更を依頼 記事元:www.slideshare.net/zaki4649
適切な情報に変更
681 usersがブックマーク コメント100

    記事へのコメント100

    • 注目コメント
    • 新着コメント
    migrant777
    migrant777 「そんなもんねえから本番でやって」←少なからず責任はこいつにある。

    2014/05/26 リンク

    その他
    deep_one
    deep_one 個人的には、シリアスなプログラミングと暗黙の変換は相容れないと思う。

    2014/05/26 リンク

    その他
    JULY
    JULY 暗黙の型変換は怖いんだけど、開発者がそれを期待する風潮があって、「これだけのことで、明示的に CAST かよ」みたいな事を思っている人が結構いそうな気が....。

    2014/05/26 リンク

    その他
    mohno
    mohno 壊しちゃいけない環境でテストとか、ちょっと何言ってるのかわかんないんだけど。あとユーザー入力ってパラメータで渡さないの?「暗黙の型変換は怖い」という話じゃないような気がするんだけど。

    2014/05/26 リンク

    その他
    C_L
    C_L インなんとかさん

    2014/05/26 リンク

    その他
    haruten
    haruten これ詳細な原因の追及まで診断員さんの仕事なの?テストしてもらって未知のバグを出してもらったんだから、詳細な調査から以降はシステム屋の仕事じゃないの

    2014/05/26 リンク

    その他
    stealthinu
    stealthinu SQLインジェクションでmysqlの暗黙の型変換により「文字列+文字列」の結果が0になりされにそれが文字列として比較されて全件マッチし全件を予期せぬupdate掛けてしまう、という事例。こわい…

    2014/05/26 リンク

    その他
    fukken
    fukken 暗黙の型変換怖いなぁ。そしてなんというか、サイトを自作するなら「本物のプログラマ」を一人くらい入れろ

    2014/05/26 リンク

    その他
    takc923
    takc923 ちなみにこれを引き起こす、例えばtest'+'test@example.comと言う文字列はRFC的には正しいメアド(処理系が対応してるかどうかは知らない)

    2014/05/31 リンク

    その他
    Jxck
    Jxck これ、診断員さんにお願いするクオリティまで達してないだろ。。

    2014/05/26 リンク

    その他
    tinsep19
    tinsep19 楽しいーーー。めっちゃ他人事

    2018/06/20 リンク

    その他
    moguno
    moguno kusanoさん@がんばらない wrote: 不正アクセス禁止法に抵触するし、データが吹っ飛んで器物損壊になりかねないし、SQLインジェクションやばい。 とある診断員とSQLインジェクション http://t.co/bsiqPZS3w8

    2014/12/12 リンク

    その他
    shoutatani
    shoutatani そこにフォームエリアがある限り、SQLインジェクション・XSSとの闘いは続く・・・!余程の自信が有って、WAFとか導入してないと顧客データ・決済システムは扱えない・・・怖い。

    2014/09/15 リンク

    その他
    niku4i
    niku4i 恐怖体験...

    2014/07/17 リンク

    その他
    sonots
    sonots テスト環境作れってことだな

    2014/07/17 リンク

    その他
    smokyjp
    smokyjp 診断

    2014/07/05 リンク

    その他
    tmatsuu
    tmatsuu ようやく読んだ。怖い。ちなみにソースコードを提供してもらった上での診断ってやってないんだろうか。ソースコードを読むなら別料金になるとか?

    2014/06/01 リンク

    その他
    tyru
    tyru 「テスト環境用意してもらえない→本番環境で脆弱性チェック→SQLインジェクションの脆弱性が有り全ユーザーのパスワードリセット」つらい…

    2014/06/01 リンク

    その他
    takc923
    takc923 ちなみにこれを引き起こす、例えばtest'+'test@example.comと言う文字列はRFC的には正しいメアド(処理系が対応してるかどうかは知らない)

    2014/05/31 リンク

    その他
    hundret
    hundret まじかーそこかー / とある診断員とSQLインジェクション :

    2014/05/29 リンク

    その他
    kasumani
    kasumani とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介  セキュリティエンジニアやってます。  脆弱性診断業務を担当しており、専門はWebセキュリティです。  趣味で脆弱性の検証したり

    2014/05/28 リンク

    その他
    mmorita44
    mmorita44 冷や汗かかねば成長せぬ。頑張れ。

    2014/05/28 リンク

    その他
    S0R5
    S0R5 コワイヨー

    2014/05/27 リンク

    その他
    harupu
    harupu mysqlで「'||'」を試してみたけど「name='value'||''」で「name='value' or 0」と等価っぽくて単純にorで全件対象にはならんかった。後ろにいろいろ条件付いてたら違うけれど。

    2014/05/27 リンク

    その他
    teracy_junk
    teracy_junk こわっ

    2014/05/27 リンク

    その他
    tboffice
    tboffice ああああ+あああああ||あああああ・・・・

    2014/05/27 リンク

    その他
    celitan
    celitan これはすごい

    2014/05/27 リンク

    その他
    akatuki_sato
    akatuki_sato あとで読む

    2014/05/27 リンク

    その他
    akasata
    akasata ふむふむ

    2014/05/27 リンク

    その他
    okbm
    okbm "あいつはもう駄目だ。今近寄ったら巻き込まれる"

    2014/05/27 リンク

    その他
    yagitoshiro
    yagitoshiro 暗黙の型変換は大抵地獄に繋がっているね:

    2014/05/27 リンク

    その他
    Vaduz
    Vaduz 複数の地雷を踏んで大爆発している感ある

    2014/05/27 リンク

    その他
    rch850
    rch850 こわいはなし

    2014/05/27 リンク

    その他
    ionis
    ionis 17ページぐらいが体験したくないw

    2014/05/27 リンク

    その他
    nharuki
    nharuki MySQLとSQLインジェクションのおそろしーい話

    2014/05/27 リンク

    その他
    ayagane
    ayagane 勉強になるわ。

    2014/05/27 リンク

    その他
    houyhnhm
    houyhnhm 脆弱性ありそうだったら、本番系でやっちゃダメ。

    2014/05/27 リンク

    その他
    tomiyanx
    tomiyanx こわい

    2014/05/27 リンク

    その他
    ya--mada
    ya--mada 診断用の文字列作るのも難しいのな

    2014/05/27 リンク

    その他
    Cherenkov
    Cherenkov SQL Injection

    2014/05/27 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    とある診断員とSQLインジェクション

    PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG...

    ブックマークしたユーザー

    • techtech05212023/11/14 techtech0521
    • juser2023/07/18 juser
    • lassen2023/03/25 lassen
    • WindyWindriyas2021/02/21 WindyWindriyas
    • keno_ss2020/05/23 keno_ss
    • koemu2019/10/01 koemu
    • gouei20012018/12/19 gouei2001
    • tinsep192018/06/20 tinsep19
    • mt102018/02/02 mt10
    • sonota882018/02/01 sonota88
    • shiftky2018/01/18 shiftky
    • tonooooo2016/03/28 tonooooo
    • naviz2016/03/10 naviz
    • shigeaki1jp2016/03/09 shigeaki1jp
    • nosoosso2016/03/09 nosoosso
    • Guro2016/03/09 Guro
    • tenjuu2016/03/09 tenjuu
    • ymm1x2016/03/09 ymm1x
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.