パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大規模接種センターの予約システム、予約番号も地域も関係なく誰でも予約が可能な欠陥」記事へのコメント

  • SQLインジェクションが可能って誰が実施したんだろう。
    脆弱性検査を依頼されてやったならともかく、確実に法的にアウトな案件では。

    徳丸浩さんもツイートしてるけど

    SQLインジェクションできるとか本当ですかね。外部者が合法的に確かめるのは難しいと思いますが…

    — 徳丸 浩 (@ockeghem) May 18, 2021 [twitter.com]

    付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね https://t.co/gctWHPz0i8 [t.co]

    — 徳丸 浩 (@ockeghem) May 18, 2021 [twitter.com]

    AND 1=1を付けてみた程度ならともかく、更新系が可能って確認した人がいたら真っ黒でしょう。

    --
    --------------------
    /* SHADOWFIRE */
    • by Anonymous Coward on 2021年05月18日 13時19分 (#4033451)

      ソースは以下

      【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも何度でも」 ジャップw★2 [738765952] [5ch.net]

      317番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 18:50:08.76ID:k7GDhDWd0
      スクリプト組んでとりあえず100席予約したった

      343番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 18:51:35.81ID:k7GDhDWd0
      SQLインジェクションに対応してなくて草やろこれ・・・
      詳しいやつ、絶対やるなよ?SQLのコメントアウトの特性利用すんなよ・・・?

      795番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:16:18.37ID:k7GDhDWd0
      トランケートとかデリートとかすんじゃねぇぞ・・・絶対やんなよ?

      911番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:23:56.86ID:k7GDhDWd0
      ; TRUNCATE TABLE ***

      964番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:27:48.72ID:k7GDhDWd0
      試しにクッキー編集してみたら他人のやつが見れて草

      【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも・・何度でも・・」 ジャップw★3 [628044343] [5ch.net]

      517番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 77de-vm0/)2021/05/17(月) 19:54:21.03ID:k7GDhDWd0
      SQLインジェクション通っちゃたよ。。

      これだけ書き込みを重ねていても一切証拠は貼ってないのと、実際にTRUNCATE(全行削除のSQL命令)されて予約情報が消えたという話も出てないので、注目を集めたいスクリプトキディの虚言の可能性が濃厚

      親コメント
      • by Anonymous Coward

        本当に起こったとしてもさすがにそのまま発表はできないでしょう。
        システムに不具合が出て停止しているので、登録データは保存されないとか後で言うくらい。

      • by Anonymous Coward

        事実なら現時点までにデータ消されてるはず。誰かがやらかす。
        デマだろうな。

      • by Anonymous Coward

        事実なら他の人間からも成功報告が出るはず。誰かがやらかす。
        デマだろうな。

    • by Anonymous Coward

      警備員がいたので襲えるか試してみた、公共の正義だ!

    • by Anonymous Coward

      インジェクションは5ah経由の情報なので誰も追試してないかも。可能なら確実に逮捕されるかと怖くて。

    • by Anonymous Coward

      台湾だったら、「";truncate…」に実名を変えてから予約しようとするのは合法なのかな?>台湾スシローで名前で無料で食べられるキャンペーン。適用のために実名を改名した客も出る [idle.srad.jp]

      あるいは、日本でも、アパートの屋号ぐらいなら簡単に変えられそう。「ハイツ";truncate…」と変えてから予約しようとしてみるとか。

      ダメなシステムがあるよー、と言われてから狙って屋号変更するのはさすがにアウトかな。あらかじめそういう名前の住所が存在するところへ、ダメなシステムが作られた、という時系列でも罪に問えるのかな? そこまで来るとさすがにシステムを作った側の問題に思える。

      マンションオーナーになって、全ての部屋に部屋番号の代わりに怪しい部屋名を付けられるようお金儲けを頑張るか。

    • by Anonymous Coward

      注射つながりでセーフ

    • by Anonymous Coward

      こういう時こそひろみちゅ先生の出番なのだが。

      • by Anonymous Coward

        高木さんのTwitter追ってますが バランス感覚あるコメントで参考になります

        今回システムがデータの属性と諸々のリスクの関係を整理し、接種現場の運用で対処できるものはそれを現実解とする提案など
        コロナ禍での優先度を重視されている様子

        もちろん告発者やメディア批判はされていない
        それら論点整理されたらやはり仕様の愚かさは断罪して欲しい
        また脆弱性関連は当然チェックしておられるでしょう

        • by Anonymous Coward

          今さらになって、コロナ禍での突貫システムなら仕方ない、報道は許される、みたいなこと言い始めてるけど、昔のひろみちゅなら逆のこと言っていたと思うよ。
          COCOAリリース当初にデプロイ王子をボコボコに叩いてメンタル崩壊させた件でネット民から総スカン食らったのが効いてるんでしょ。
          バランス感覚があるとかじゃなくて、自分が批判されないために守りの姿勢に入っただけ。

          • by Anonymous Coward

            まぁ人はそれぞれに成長するんじゃないでしょうか

            その後のツィートでは 事前報告が必須であるようなコメントを出したIPAの広報を強く批判してます
            これは非常に大事な言及と思います

    • by Anonymous Coward

      > AND 1=1 を付けてみた程度ならともかく

      いや、AND でやるのはどうかな…
      サーバー内部の状態を変更するような処理はむじゃきに実行すべきではないというのは、そのとおりだと思う。

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...