アカウント名:
パスワード:
SQLインジェクションが可能って誰が実施したんだろう。脆弱性検査を依頼されてやったならともかく、確実に法的にアウトな案件では。
徳丸浩さんもツイートしてるけど
SQLインジェクションできるとか本当ですかね。外部者が合法的に確かめるのは難しいと思いますが…— 徳丸 浩 (@ockeghem) May 18, 2021 [twitter.com]
SQLインジェクションできるとか本当ですかね。外部者が合法的に確かめるのは難しいと思いますが…
— 徳丸 浩 (@ockeghem) May 18, 2021 [twitter.com]
付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね https://t.co/gctWHPz0i8 [t.co] — 徳丸 浩 (@ockeghem) May 18, 2021 [twitter.com]
付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね https://t.co/gctWHPz0i8 [t.co]
AND 1=1を付けてみた程度ならともかく、更新系が可能って確認した人がいたら真っ黒でしょう。
ソースは以下
【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも何度でも」 ジャップw★2 [738765952] [5ch.net]
317番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 18:50:08.76ID:k7GDhDWd0スクリプト組んでとりあえず100席予約したった
343番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 18:51:35.81ID:k7GDhDWd0SQLインジェクションに対応してなくて草やろこれ・・・詳しいやつ、絶対やるなよ?SQLのコメントアウトの特性利用すんなよ・・・?
795番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:16:18.37ID:k7GDhDWd0トランケートとかデリートとかすんじゃねぇぞ・・・絶対やんなよ?
911番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:23:56.86ID:k7GDhDWd0; TRUNCATE TABLE ***
964番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 77de-sort)2021/05/17(月) 19:27:48.72ID:k7GDhDWd0試しにクッキー編集してみたら他人のやつが見れて草
【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも・・何度でも・・」 ジャップw★3 [628044343] [5ch.net]
517番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 77de-vm0/)2021/05/17(月) 19:54:21.03ID:k7GDhDWd0SQLインジェクション通っちゃたよ。。
これだけ書き込みを重ねていても一切証拠は貼ってないのと、実際にTRUNCATE(全行削除のSQL命令)されて予約情報が消えたという話も出てないので、注目を集めたいスクリプトキディの虚言の可能性が濃厚
本当に起こったとしてもさすがにそのまま発表はできないでしょう。システムに不具合が出て停止しているので、登録データは保存されないとか後で言うくらい。
事実なら現時点までにデータ消されてるはず。誰かがやらかす。デマだろうな。
事実なら他の人間からも成功報告が出るはず。誰かがやらかす。デマだろうな。
警備員がいたので襲えるか試してみた、公共の正義だ!
インジェクションは5ah経由の情報なので誰も追試してないかも。可能なら確実に逮捕されるかと怖くて。
台湾だったら、「";truncate…」に実名を変えてから予約しようとするのは合法なのかな?>台湾スシローで名前で無料で食べられるキャンペーン。適用のために実名を改名した客も出る [idle.srad.jp]
あるいは、日本でも、アパートの屋号ぐらいなら簡単に変えられそう。「ハイツ";truncate…」と変えてから予約しようとしてみるとか。
ダメなシステムがあるよー、と言われてから狙って屋号変更するのはさすがにアウトかな。あらかじめそういう名前の住所が存在するところへ、ダメなシステムが作られた、という時系列でも罪に問えるのかな? そこまで来るとさすがにシステムを作った側の問題に思える。
マンションオーナーになって、全ての部屋に部屋番号の代わりに怪しい部屋名を付けられるようお金儲けを頑張るか。
注射つながりでセーフ
こういう時こそひろみちゅ先生の出番なのだが。
高木さんのTwitter追ってますが バランス感覚あるコメントで参考になります
今回システムがデータの属性と諸々のリスクの関係を整理し、接種現場の運用で対処できるものはそれを現実解とする提案などコロナ禍での優先度を重視されている様子
もちろん告発者やメディア批判はされていないそれら論点整理されたらやはり仕様の愚かさは断罪して欲しいまた脆弱性関連は当然チェックしておられるでしょう
今さらになって、コロナ禍での突貫システムなら仕方ない、報道は許される、みたいなこと言い始めてるけど、昔のひろみちゅなら逆のこと言っていたと思うよ。COCOAリリース当初にデプロイ王子をボコボコに叩いてメンタル崩壊させた件でネット民から総スカン食らったのが効いてるんでしょ。バランス感覚があるとかじゃなくて、自分が批判されないために守りの姿勢に入っただけ。
まぁ人はそれぞれに成長するんじゃないでしょうか
その後のツィートでは 事前報告が必須であるようなコメントを出したIPAの広報を強く批判してますこれは非常に大事な言及と思います
> AND 1=1 を付けてみた程度ならともかく
いや、AND でやるのはどうかな…サーバー内部の状態を変更するような処理はむじゃきに実行すべきではないというのは、そのとおりだと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
SQLインジェクションはアウトでは (スコア:2)
SQLインジェクションが可能って誰が実施したんだろう。
脆弱性検査を依頼されてやったならともかく、確実に法的にアウトな案件では。
徳丸浩さんもツイートしてるけど
AND 1=1を付けてみた程度ならともかく、更新系が可能って確認した人がいたら真っ黒でしょう。
--------------------
/* SHADOWFIRE */
Re:SQLインジェクションはアウトでは (スコア:1)
ソースは以下
【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも何度でも」 ジャップw★2 [738765952] [5ch.net]
【悲報】東京ワクチン大規模接種センターの予約システムに重大”欠陥”「誰でも・・何度でも・・」 ジャップw★3 [628044343] [5ch.net]
これだけ書き込みを重ねていても一切証拠は貼ってないのと、実際にTRUNCATE(全行削除のSQL命令)されて予約情報が消えたという話も出てないので、注目を集めたいスクリプトキディの虚言の可能性が濃厚
Re: (スコア:0)
本当に起こったとしてもさすがにそのまま発表はできないでしょう。
システムに不具合が出て停止しているので、登録データは保存されないとか後で言うくらい。
Re: (スコア:0)
事実なら現時点までにデータ消されてるはず。誰かがやらかす。
デマだろうな。
Re: (スコア:0)
事実なら他の人間からも成功報告が出るはず。誰かがやらかす。
デマだろうな。
Re: (スコア:0)
警備員がいたので襲えるか試してみた、公共の正義だ!
Re: (スコア:0)
インジェクションは5ah経由の情報なので誰も追試してないかも。可能なら確実に逮捕されるかと怖くて。
Re: (スコア:0)
台湾だったら、「";truncate…」に実名を変えてから予約しようとするのは合法なのかな?>台湾スシローで名前で無料で食べられるキャンペーン。適用のために実名を改名した客も出る [idle.srad.jp]
あるいは、日本でも、アパートの屋号ぐらいなら簡単に変えられそう。「ハイツ";truncate…」と変えてから予約しようとしてみるとか。
ダメなシステムがあるよー、と言われてから狙って屋号変更するのはさすがにアウトかな。あらかじめそういう名前の住所が存在するところへ、ダメなシステムが作られた、という時系列でも罪に問えるのかな? そこまで来るとさすがにシステムを作った側の問題に思える。
マンションオーナーになって、全ての部屋に部屋番号の代わりに怪しい部屋名を付けられるようお金儲けを頑張るか。
Re: (スコア:0)
注射つながりでセーフ
Re: (スコア:0)
こういう時こそひろみちゅ先生の出番なのだが。
Re: (スコア:0)
高木さんのTwitter追ってますが バランス感覚あるコメントで参考になります
今回システムがデータの属性と諸々のリスクの関係を整理し、接種現場の運用で対処できるものはそれを現実解とする提案など
コロナ禍での優先度を重視されている様子
もちろん告発者やメディア批判はされていない
それら論点整理されたらやはり仕様の愚かさは断罪して欲しい
また脆弱性関連は当然チェックしておられるでしょう
Re: (スコア:0)
今さらになって、コロナ禍での突貫システムなら仕方ない、報道は許される、みたいなこと言い始めてるけど、昔のひろみちゅなら逆のこと言っていたと思うよ。
COCOAリリース当初にデプロイ王子をボコボコに叩いてメンタル崩壊させた件でネット民から総スカン食らったのが効いてるんでしょ。
バランス感覚があるとかじゃなくて、自分が批判されないために守りの姿勢に入っただけ。
Re: (スコア:0)
まぁ人はそれぞれに成長するんじゃないでしょうか
その後のツィートでは 事前報告が必須であるようなコメントを出したIPAの広報を強く批判してます
これは非常に大事な言及と思います
Re: (スコア:0)
> AND 1=1 を付けてみた程度ならともかく
いや、AND でやるのはどうかな…
サーバー内部の状態を変更するような処理はむじゃきに実行すべきではないというのは、そのとおりだと思う。