アカウント名:
パスワード:
なんか「+」で異常動作するのが盲点だったように書かれているけど、原因はシングルクォートのエスケープ漏れという基本中の基本だから。
今時強制的にPreparedStatement使わせないFWなんて存在するのかよ、と思ってネタ元見てみたらかなり古いお手製ECってだけだったでござる。こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
脆弱性の内容ではなくて、脆弱性診断を依頼する側にテストサイトでの実施の重要性を認識してもらうための定期ネタとしての価値があると思う。
こんな古臭い脆弱性しか見つけられないようでは使い物にならないな、という認識か
いいからネタ元読め。これ以上恥を晒すな。
脆弱性診断の段階で(調査だけにも関わらず)発生させてしまった事例、というのがトピックスであって、脆弱性そのものに深い意味はない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
「+」は関係ない (スコア:0)
なんか「+」で異常動作するのが盲点だったように書かれているけど、
原因はシングルクォートのエスケープ漏れという基本中の基本だから。
Re: (スコア:0)
今時強制的にPreparedStatement使わせないFWなんて存在するのかよ、
と思ってネタ元見てみたらかなり古いお手製ECってだけだったでござる。
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
Re: (スコア:1)
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
脆弱性の内容ではなくて、脆弱性診断を依頼する側にテストサイトでの実施の重要性を認識してもらうための定期ネタとしての価値があると思う。
Re: (スコア:-1)
こんな古臭い脆弱性しか見つけられないようでは使い物にならないな、という認識か
Re:「+」は関係ない (スコア:3, すばらしい洞察)
いいからネタ元読め。
これ以上恥を晒すな。
脆弱性診断の段階で(調査だけにも関わらず)発生させてしまった事例、
というのがトピックスであって、脆弱性そのものに深い意味はない。