SQLインジェクションを実はよくわかってないケンモメンの数→

1 : 2021/05/19(水) 09:56:26.22 ID:tTQhUyJB0

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り
https://www.itmedia.co.jp/news/articles/2105/18/news145.html

大規模会場を使った新型コロナワクチンの接種予約システムの欠陥について、IPA(情報処理推進機構)は5月18日、取材に対し「脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。
脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という

2 : 2021/05/19(水) 09:57:12.58 ID:tTQhUyJB0
マジでわからん
3 : 2021/05/19(水) 09:57:43.23 ID:trRqsrjuF
バインド変数使え
4 : 2021/05/19(水) 09:57:51.75 ID:Bzsg2p3L0
MySQLってやつだろ!知ってるわよそのくらい
6 : 2021/05/19(水) 09:58:11.40 ID:ddBFFyb50
メモリオーバーフローを利用して不正なSQLをなげつけるやつだったようなきおくはある
16 : 2021/05/19(水) 10:01:03.44 ID:pqRilMHl0
>>6
違うよバカw
入力値を使ってSQLクエリーを偽造することだw
8 : 2021/05/19(水) 09:59:32.79 ID:T/j1BM9G0
検索欄から好きなクエリ発行できちゃう
9 : 2021/05/19(水) 09:59:41.64 ID:kv3vmtGVM
バインド変数使ったなかったとしたらそれは瑕疵だな
10 : 2021/05/19(水) 09:59:55.71 ID:GrYVRl1d0
httpヘッダインジェクションのほうが怖い
11 : 2021/05/19(水) 10:00:01.63 ID:cbkIP7ULd
SQL文を無理矢理突っ込めば何でも出来るぜってやつだろ
13 : 2021/05/19(水) 10:00:25.35 ID:CAMjoGHj0
エプソンのプリンタだろ
知ってるわ
14 : 2021/05/19(水) 10:00:45.32 ID:BnA+Huab0
SQLってなんすか?
15 : 2021/05/19(水) 10:01:01.57 ID:afjRPr3Sp
なんかカッコいいフレーズ
17 : 2021/05/19(水) 10:01:33.04 ID:CuTILK5UM
どうやるの?
"" + sql + ""
18 : 2021/05/19(水) 10:01:54.03 ID:gnospfDPx
これ経由でハセカラ民にサイト乗っ取られて勝手に掲示板まで設置される会社ほんと草
19 : 2021/05/19(水) 10:02:03.11 ID:Vc0Opncm0
IDパスワード入力欄に長文放り込んでコードを実行させる攻撃だったような
28 : 2021/05/19(水) 10:03:17.30 ID:pqRilMHl0
>>19
それはbuffer overflow攻撃
20 : 2021/05/19(水) 10:02:13.49 ID:4xvGOW9B0
MySQLをおもむろにメルカトル図法になんちゃら
21 : 2021/05/19(水) 10:02:19.27 ID:k1RDZUP+0
しゃあっ、SQL・インジェクション
よく分からんがシステムに大ダメージ
22 : 2021/05/19(水) 10:02:42.72 ID:DbZsG62l0
クロスサイトリクエストフォージェリがよくわかってない(´・ω・`)
25 : 2021/05/19(水) 10:03:05.57 ID:s6KUFeGW0
SQL文突っ込むやつか
26 : 2021/05/19(水) 10:03:10.47 ID:VKdSsMF80
evalと同じだよ
29 : 2021/05/19(水) 10:03:32.23 ID:kv3vmtGVM
セミコロンで区切ると違うSQLになるのでセミコロンで区切っていろんなSQL書き放題
テーブル名が分からないならテーブル名を検索するSQLを書けばいい
31 : 2021/05/19(水) 10:03:54.52 ID:03im+e8Y0
parseのバグ利用したやつ
32 : 2021/05/19(水) 10:03:57.23 ID:w0fFxQm2M
昔どっかのキャバクラのHPでやったわ色々出てきた
あんまこの系統は興味ないね
もっと手っ取り早い方法で直接抜き取るから
33 : 2021/05/19(水) 10:04:03.48 ID:Xv2ng7A30
まずSQLがなんだか分かってない奴ばっかだろ
35 : 2021/05/19(水) 10:04:51.26 ID:v2aw46Qr0
異論反論オブジェクション
イングヴェイマルムスティーン
なら知ってる
36 : 2021/05/19(水) 10:05:01.93 ID:OmiY9/CqM
>>1
朝日はまず防衛省に連絡して脆弱性じゃないと回答を受けてるんだが
42 : 2021/05/19(水) 10:06:24.95 ID:pqRilMHl0
>>36
「バグじゃありません仕様です!」ってやつか。宗篤だなw
37 : 2021/05/19(水) 10:05:02.02 ID:zIqs5Fos0
DDoS攻撃
38 : 2021/05/19(水) 10:05:29.30 ID:7mEx4HsWM
sqliteしか知らない
39 : 2021/05/19(水) 10:05:43.96 ID:0Be01SWG0
なんかこう注射に関係あるような気がしてならない
40 : 2021/05/19(水) 10:06:04.71 ID:L5338nwB0
昔URLのパラメータにSQLクエリが入ってるっていうお粗末なサイト見つけてDELETEクエリでデータ全消しした事ある
41 : 2021/05/19(水) 10:06:14.11 ID:s6KUFeGW0
実例書こうとしたらforbiddenだって
43 : 2021/05/19(水) 10:06:25.84 ID:jV9w/zNMa
テーブル名とかフィールド名は当てずっぽう?
44 : 2021/05/19(水) 10:06:25.97 ID:+JZckG4Md
射出成形でしょ
よくしってるよ
45 : 2021/05/19(水) 10:06:29.49 ID:CTn9BKZ20
システムに命令文打ち込んでやるとその通りのデータ表示する不具合らしい
46 : 2021/05/19(水) 10:06:52.90 ID:HVr1CuvEa
WHERE 1-1にして
続けてORで任意の条件付ければDBのデータ吸い取り放題ってやつだろ
47 : 2021/05/19(水) 10:07:48.63 ID:dyC8GafXr
あ、SQLなーなつい😌
インジェクトしてたなー🤔
48 : 2021/05/19(水) 10:07:50.05 ID:BnA+Huab0
お前ら、膜宇宙論からAV女優名、ネトウヨ烈士の動向、そしてプログラミングと何でも知っててすげーと思うわ
49 : 2021/05/19(水) 10:07:51.20 ID:pqRilMHl0
しかし、このネタで暴れてる連中の割にド素人多いなw
50 : 2021/05/19(水) 10:08:37.79 ID:4mpGpiBiM
古いやり方だと
予約文字つかうだろ
あとは
a=a Delete~とか
a=a;delete~とか
今は自動化のテストですら勝手にやってくれるだろ
52 : 2021/05/19(水) 10:08:44.99 ID:361rBhQh0
インクジェット…ですか?
53 : 2021/05/19(水) 10:08:51.88 ID:1n3ZZWex0
エスケープ処理するんだっけ
サウンドハウスはこれでやられたよな
54 : 2021/05/19(水) 10:08:53.50 ID:sPSWcKBM0
名前を入力してくださいって
>>1の住所表示」って入力したら住所が出てきてしまうみたいなもん
56 : 2021/05/19(水) 10:09:18.47 ID:CP+i6o4q0
送信データにSQL文の一部を書き込んでおくと
アホなシステムはそれをそのままSQLで実行してしまう
57 : 2021/05/19(水) 10:10:05.07 ID:7mEx4HsWM
SQLってなんで何種類もあるの
覚えるの面倒だわ
58 : 2021/05/19(水) 10:10:12.21 ID:4mpGpiBiM
この辺りの話はasp1.1のcom+やってたおっさんの方が詳しいだろ
59 : 2021/05/19(水) 10:10:42.91 ID:RtfkiHoC0
データベースと繋げるとやらかすから
なんでもクッキーで済ます=SQLの注入
というジャップで流行ってる設計思想らしいな

コメント

タイトルとURLをコピーしました