(cache) はてなブックマーク - とある診断員とSQLインジェクション

- 345 users
とある診断員とSQLインジェクション
- テクノロジー
- 2014/05/26 08:53
- slide share
- セキュリティ security SQL mysql sqlインジェクション web 脆弱性
とある診断員とSQLインジェクション from zaki4649

人気コメント (10)
新着コメント

すべてのブックマーク

bienbienbienbien 本番環境で脆弱性診断させるお客が一番の脆弱性というお話 2014/05/26
migrant777 「そんなもんねえから本番でやって」←少なからず責任はこいつにある。 2014/05/26
JULY セキュリティ暗黙の型変換は怖いんだけど、開発者がそれを期待する風潮があって、「これだけのことで、明示的に CAST かよ」みたいな事を思っている人が結構いそうな気が....。 2014/05/26
deep_one 個人的には、シリアスなプログラミングと暗黙の変換は相容れないと思う。 2014/05/26
stealthinu security mysql programming SQLインジェクションでmysqlの暗黙の型変換により「文字列+文字列」の結果が0になりされにそれが文字列として比較されて全件マッチし全件を予期せぬupdate掛けてしまう、という事例。こわい… 2014/05/26
fukken security 暗黙の型変換怖いなぁ。そしてなんというか、サイトを自作するなら「本物のプログラマ」を一人くらい入れろ 2014/05/26
jgoamakf 暗黙の型変換は危険という理屈も、処理系で適当に変換して欲しいという気持ちも分かる。それはそれとして、最初からテスト環境は用意した方が良いですね。特に今回は「不正な処理を起こさせてみる」テストな訳だし。 2014/05/26
hamaco security mysql これは…… こんなん脆弱性チェックする側も大変やなぁ。 2014/05/26
mohno slideshare SQL セキュリティテスト開発壊しちゃいけない環境でテストとか、ちょっと何言ってるのかわかんないんだけど。あとユーザー入力ってパラメータで渡さないの？「暗黙の型変換は怖い」という話じゃないような気がするんだけど。 2014/05/26
Jxck sqlinjection sequrity これ、診断員さんにお願いするクオリティまで達してないだろ。。 2014/05/26

suisou362 こわい 2014/05/26
vaqura1989 web セキュリティ security SQL mysql 面白い。やっぱり何事も事前の調整が大事ですね。。。 2014/05/26
lotus_rs セキュリティ脆弱性こわい 2014/05/26
camellow おれの知る会社の話かと思ってドキッとしたが違うみたいでよかった 2014/05/26
YaSuYuKi security 穴に予期しない鍵がはまった結果扉の奥がミンチになったでござるという感じ 2014/05/26
fujitsuka セキュリティ開発この夏の怪談話にとっておこう 2014/05/26
typex2 # |ω・）…… ちゅうにゅっ！ 2014/05/26
pochi-mk システム web セキュリティ sqlインジェクションなかなか闇が深い 2014/05/26
kana321 Webアプリケーションセキュリティ security 開発 SQL 5/23に開催したssmjpでLTした資料です。一部内容の追記をしています 2014/05/26
sakamata SQL web sqlインジェクション脆弱性 mysql はじめてのMySQL読んで、はじめてのアプリ作ってる俺にとっては下手な小説より面白いし為になった。"+"記号怖い！ 2014/05/26
oropon IT怪談 2014/05/26
zentarou 型変換には魔物が潜む 2014/05/26
MagnesiumRibbon クソとクソの悪魔合体だ 2014/05/26
miyamae きちんと作った上で診断受けないとあまり意味ない。 >> とある診断員とSQLインジェクション 2014/05/26
shinagaki 胃が痛くなる 2014/05/26
haruten これ詳細な原因の追及まで診断員さんの仕事なの？テストしてもらって未知のバグを出してもらったんだから、詳細な調査から以降はシステム屋の仕事じゃないの 2014/05/26
ww_zero Webアプリケーションセキュリティ SQLインジェクションこれはシングルクォートが正しくエスケープされていないだけであって、暗黙の型変換とか言う以前の話。変数の値をSQL文にセットする際にはその中身に関係なく常にエスケープするという原則を守れば起こらない問題 2014/05/26
at_yasu sql security mysql ほー…てか、検証するときはダミーサーバを用意しないと… 2014/05/26
naokun776 本番でやってという一言が一番恐ろしい 2014/05/26
kumonopanya 安全なSQLの呼び出し方 http://www.ipa.go.jp/files/000017320.pdf 2014/05/26
mikage014 セキュリティ事例元がこれだと指摘してもちゃんと直るのか不安ｗ　ピンポイントで蓋をして他の穴が残ってたりして。 2014/05/26
noonworks セキュリティこの世は地獄 MySQLの暗黙の型変換の問題ではなくプレースホルダを使わないことの問題と本番環境でテストしたことの問題だと思う 2014/05/26
iori_t ・・・お粗末。/っつか本番環境でテストとか凄すぎ。/しかしまぁ、これの公開目的が・・・なんなんじゃろ？/とある画像の著作権侵害(インフリンジメント) と揚げ足をとってみる。 2014/05/26
tripleshot こわい 2014/05/26
iww システム SQL セキュリティ怖い MySQL 暗黙の型変換のこわさ 2014/05/26
bienbienbienbien 本番環境で脆弱性診断させるお客が一番の脆弱性というお話 2014/05/26
jgoamakf 暗黙の型変換は危険という理屈も、処理系で適当に変換して欲しいという気持ちも分かる。それはそれとして、最初からテスト環境は用意した方が良いですね。特に今回は「不正な処理を起こさせてみる」テストな訳だし。 2014/05/26
u-north それを実機でやるのかよ！ 2014/05/26
mohno slideshare SQL セキュリティテスト開発壊しちゃいけない環境でテストとか、ちょっと何言ってるのかわかんないんだけど。あとユーザー入力ってパラメータで渡さないの？「暗黙の型変換は怖い」という話じゃないような気がするんだけど。 2014/05/26
asa_ca3 security mysql セキュリティシステム和と論理和　暗黙型変換 2014/05/26