アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
プログラムに欠陥がなくても? (スコア:2, すばらしい洞察)
レイヤ違い (スコア:1, 興味深い)
ただ、asahiの記事で問題にしているのはSQLインジェクションで実行されるDBアカウントを使って、「DBを乗っ取った」ことに関して。
権限がしっかりと制限されていれば、SQLインジェクションを使われても情報流出は最小限に抑えられる。
しかし、権限が制限されていないと、DB内の情報が全て攻撃者に漏れてしまうので危険。
(ユーザIDが流出するだけで済んだはずなのにメールアドレス等の個人情報が流出した等)
という話だと思われるが。
#記事では「SQLインジェクション」と呼ばれる手法を『利用』ではなく『応用』って書かれてる。
#SQLインジェクションが使えるっていうアプリケーションの脆弱性が無ければ侵入はできなかったとは思うが。
#ただ、ここまでの話は「データベースを支配下に置いていった」というasahiの記事が正しければの話。
#単にSQLインジェクションでデータを抜いただけなら話は別。
Re:レイヤ違い (スコア:0)
> しかし、権限が制限されていないと、DB内の情報が全て攻撃者に漏れてしまうので危険。
> (ユーザIDが流出す
Re:レイヤ違い (スコア:0)
A社じゃ人事情報もユーザの個人情報も同じDBアカウントで管理されてた。
B社じゃDBアカウントが分かれてても管理権限付いてるから意味が無い。
それに対して改善提案を出しても受け入れて貰えなかった自分は机上の空論の人です。orz
#今まで問題が起こってないから金をかけて変更する必要は無いんだそうな。
#問題が起きてからでは遅いのに
Re:レイヤ違い (スコア:0)
1. 掲示板のシステムで発行するSQLに以下のものがあった。
select * from 掲示板ユーザ where ユーザID='引数';
2. そのSQLにインジェクションし、テーブル一覧を参照。
select * from 掲示板ユーザ where ユーザID='a';select table_name from user_tables where table_name like '*';
3. お知らせメールテーブルを発見したんで中を覗いた。
select * from 掲示板ユーザ where ユーザID='a';select メールアドレス from お知らせメール where メールアドレス like '*';
4. 掲示板システムのDBアカウントでお知らせメールテーブルが参照できた