アカウント名:
パスワード:
なんか「+」で異常動作するのが盲点だったように書かれているけど、原因はシングルクォートのエスケープ漏れという基本中の基本だから。
今時強制的にPreparedStatement使わせないFWなんて存在するのかよ、と思ってネタ元見てみたらかなり古いお手製ECってだけだったでござる。こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
脆弱性の内容ではなくて、脆弱性診断を依頼する側にテストサイトでの実施の重要性を認識してもらうための定期ネタとしての価値があると思う。
要件として稼働環境に対してライブテストしてほしいってのはあるでしょ。常に完全に同一を保証できるテスト環境が存在するとは限らないんだし。SQLインジェクションを検知するだけなら参照系の命令でテンプレ作っとけってこと。客に対する注意喚起じゃなく、あくまでテスト者の失敗談であって、本番でテストを実施する際に注意すべき項目だよ。
テスト用メールアカウントとして存在しないであろうてきとーなドメインでテストしたら実際に実在する誰かにメールが飛んじゃったなんていうことがあるから必ず使われていないことが保障されてるexample.com使えってあるある失敗談としておもしろおかしく先輩に教わるのと同じレベルの話。
ちょっと的外れじゃないですか。パスワードリセットはシステムに備わっている機能なので参照系の命令云々は関係ないですよね。どちらかというと入力値が条件文として不適切だったという方が正しいです。
いやいや客に対する注意喚起にも使えるでしょ。本番環境でやった理由はテスト環境構築を省いてコストを削減することなんだけど、それのリスクも正しく認識してもらわないと。というか、多少なりともリスクを認識してたからこそバックアップをとってたと思うし。まぁこの程度は想定の範囲内で大したリスクではない、と言うなら別に良いのでしょうけど、皆が皆そうだとは思えないんで。
いいからネタ元読め。これ以上恥を晒すな。
脆弱性診断の段階で(調査だけにも関わらず)発生させてしまった事例、というのがトピックスであって、脆弱性そのものに深い意味はない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
「+」は関係ない (スコア:0)
なんか「+」で異常動作するのが盲点だったように書かれているけど、
原因はシングルクォートのエスケープ漏れという基本中の基本だから。
Re: (スコア:0)
今時強制的にPreparedStatement使わせないFWなんて存在するのかよ、
と思ってネタ元見てみたらかなり古いお手製ECってだけだったでござる。
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
Re:「+」は関係ない (スコア:1)
こんなありふれたWEBアプリケーションの古典的失敗談をいまさら記事にすることなの?
脆弱性の内容ではなくて、脆弱性診断を依頼する側にテストサイトでの実施の重要性を認識してもらうための定期ネタとしての価値があると思う。
Re: (スコア:0)
要件として稼働環境に対してライブテストしてほしいってのはあるでしょ。
常に完全に同一を保証できるテスト環境が存在するとは限らないんだし。
SQLインジェクションを検知するだけなら参照系の命令でテンプレ作っとけってこと。
客に対する注意喚起じゃなく、あくまでテスト者の失敗談であって、
本番でテストを実施する際に注意すべき項目だよ。
テスト用メールアカウントとして存在しないであろうてきとーなドメインでテストしたら
実際に実在する誰かにメールが飛んじゃったなんていうことがあるから
必ず使われていないことが保障されてるexample.com使えって
あるある失敗談としておもしろおかしく先輩に教わるのと同じレベルの話。
Re: (スコア:0)
ちょっと的外れじゃないですか。
パスワードリセットはシステムに備わっている機能なので参照系の命令云々は関係ないですよね。
どちらかというと入力値が条件文として不適切だったという方が正しいです。
Re: (スコア:0)
いやいや客に対する注意喚起にも使えるでしょ。
本番環境でやった理由はテスト環境構築を省いてコストを削減することなんだけど、それのリスクも正しく認識してもらわないと。
というか、多少なりともリスクを認識してたからこそバックアップをとってたと思うし。
まぁこの程度は想定の範囲内で大したリスクではない、と言うなら別に良いのでしょうけど、
皆が皆そうだとは思えないんで。
Re:「+」は関係ない (スコア:3, すばらしい洞察)
いいからネタ元読め。
これ以上恥を晒すな。
脆弱性診断の段階で(調査だけにも関わらず)発生させてしまった事例、
というのがトピックスであって、脆弱性そのものに深い意味はない。