パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    SQL注入されちゃうのはプログラムの欠陥だろー>asahi.comの記事
    • レイヤ違い (スコア:1, 興味深い)

      by Anonymous Coward on 2005年05月24日 20時28分 (#740100)
      SQLインジェクションが使われるのはアプリケーションの脆弱性。
      ただ、asahiの記事で問題にしているのはSQLインジェクションで実行されるDBアカウントを使って、「DBを乗っ取った」ことに関して。

      権限がしっかりと制限されていれば、SQLインジェクションを使われても情報流出は最小限に抑えられる。
      しかし、権限が制限されていないと、DB内の情報が全て攻撃者に漏れてしまうので危険。
      (ユーザIDが流出するだけで済んだはずなのにメールアドレス等の個人情報が流出した等)
      という話だと思われるが。

      #記事では「SQLインジェクション」と呼ばれる手法を『利用』ではなく『応用』って書かれてる。
      #SQLインジェクションが使えるっていうアプリケーションの脆弱性が無ければ侵入はできなかったとは思うが。
      #ただ、ここまでの話は「データベースを支配下に置いていった」というasahiの記事が正しければの話。
      #単にSQLインジェクションでデータを抜いただけなら話は別。
      親コメント
      • by Anonymous Coward
        > 権限がしっかりと制限されていれば、SQLインジェクションを使われても情報流出は最小限に抑えられる。
        > しかし、権限が制限されていないと、DB内の情報が全て攻撃者に漏れてしまうので危険。
        > (ユーザIDが流出す
        • by Anonymous Coward
          確かに机上の空論の人です。

          A社じゃ人事情報もユーザの個人情報も同じDBアカウントで管理されてた。
          B社じゃDBアカウントが分かれてても管理権限付いてるから意味が無い。

          それに対して改善提案を出しても受け入れて貰えなかった自分は机上の空論の人です。orz
          #今まで問題が起こってないから金をかけて変更する必要は無いんだそうな。
          #問題が起きてからでは遅いのに
      • by Anonymous Coward
        ついでに問題点を妄想。

        1. 掲示板のシステムで発行するSQLに以下のものがあった。
        select * from 掲示板ユーザ where ユーザID='引数';

        2. そのSQLにインジェクションし、テーブル一覧を参照。
        select * from 掲示板ユーザ where ユーザID='a';select table_name from user_tables where table_name like '*';

        3. お知らせメールテーブルを発見したんで中を覗いた。
        select * from 掲示板ユーザ where ユーザID='a';select メールアドレス from お知らせメール where メールアドレス like '*';

        4. 掲示板システムのDBアカウントでお知らせメールテーブルが参照できた

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...