アカウント名:
パスワード:
パラメータに半角のシングルクオートを含めるのは、SQLインジェクションの可能性を発見できてしまう可能性があるから、全部違法なの?
不正アクセス禁止法の対象は故意犯で、過失は含まれない。
今回の件は意図して(アタック先にSQLインジェクション脆弱性があり、それを引き起こす可能性があることを前提とした上で)アタックしているので故意。事前にアタック先と調整していないので、「業務その他正当な理由による場合」による除外対象となるかも微妙。
…というところですかね。
不正アクセス行為の禁止等に関する法律 二条四項を見る限り。自身の識別符号(ID)を入力した上で構文状のパスワードを入力する体裁のSQLインジェクション脆弱性検査であれば、法の要求する用件を満たさないため犯罪にならないような。
セキュリティホールへの攻撃等として不正アクセス禁止法 第2条第4項第2号が規定しているのは「特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して――」ですね。
この前者については、送信したデータの中に「識別符号」が含まれていたとしても、データ全体から「識別符号」やその他の攻撃に無関係な情報(通常のHTTPヘッダやPOSTデータ)を除いた部分が、「特定利用の制限を免れることができる情報」として扱われるんじゃないでしょうか。
また、後者の「特定利用の制限を免れることができる指令」については、「識別符号であるものを除く」という規定はありませんから、「指令」の動作として必要であれば、「識別符号」も含めて「指令」とすることに問題はないでしょう。「指令」の動作に必要ないのであれば、前者同様に、攻撃に無関係な情報として切り分けられるように思います。
ところで、SQLインジェクションなら、SQL構文自体が動作を規定するものだから、「指令」の方に当たるように感じます。
(不正指令電磁的記録作成等)第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
こっちはどうなんでしょう?
そっちはウイルスを送りつけて、先方に実行させようとする場合です。脆弱性検査ではそういうことはしないですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
SQLインジェクションのテストが駄目なら (スコア:0)
パラメータに半角のシングルクオートを含めるのは、SQLインジェクションの可能性を発見できてしまう可能性があるから、全部違法なの?
Re:SQLインジェクションのテストが駄目なら (スコア:4, 興味深い)
不正アクセス禁止法の対象は故意犯で、過失は含まれない。
今回の件は意図して(アタック先にSQLインジェクション脆弱性があり、それを引き起こす可能性があることを前提とした上で)アタックしているので故意。事前にアタック先と調整していないので、「業務その他正当な理由による場合」による除外対象となるかも微妙。
…というところですかね。
Re: (スコア:0)
不正アクセス行為の禁止等に関する法律 二条四項を見る限り。
自身の識別符号(ID)を入力した上で構文状のパスワードを入力する体裁のSQLインジェクション脆弱性検査であれば、
法の要求する用件を満たさないため犯罪にならないような。
Re:SQLインジェクションのテストが駄目なら (スコア:2)
セキュリティホールへの攻撃等として不正アクセス禁止法 第2条第4項第2号が規定しているのは
「特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して――」
ですね。
この前者については、送信したデータの中に「識別符号」が含まれていたとしても、データ全体から「識別符号」やその他の攻撃に無関係な情報(通常のHTTPヘッダやPOSTデータ)を除いた部分が、「特定利用の制限を免れることができる情報」として扱われるんじゃないでしょうか。
また、後者の「特定利用の制限を免れることができる指令」については、「識別符号であるものを除く」という規定はありませんから、「指令」の動作として必要であれば、「識別符号」も含めて「指令」とすることに問題はないでしょう。
「指令」の動作に必要ないのであれば、前者同様に、攻撃に無関係な情報として切り分けられるように思います。
ところで、SQLインジェクションなら、SQL構文自体が動作を規定するものだから、「指令」の方に当たるように感じます。
Re: (スコア:0)
こっちはどうなんでしょう?
Re: (スコア:0)
そっちはウイルスを送りつけて、先方に実行させようとする場合です。
脆弱性検査ではそういうことはしないですね。