misc.log

日常茶飯事とお仕事と

Time Based SQL Injection、面白いですね

何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。

Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記
http://blog.tokumaru.org/2015/04/time-based-sql-injection.html

条件に一致すればスリープが起きる、というSQLをインジェクションで挿入すれば、処理結果が画面等で確認できなくとも、応答時間自体が情報を伝えてくれる、ということですね。面白い。

いや、面白いとばかりは言っていられません。要するに「画面に出ないようにしてるし、大丈夫だよ」とか言ってるとやられるってことですね。気を付けないと。

最新!!データベース不正アクセスレポート―転ばぬ先のデータベースセキュリティ対策

最新!!データベース不正アクセスレポート―転ばぬ先のデータベースセキュリティ対策

ひとごとではないデータベース情報の漏洩防止―事件簿から学ぶセキュリティ対策

ひとごとではないデータベース情報の漏洩防止―事件簿から学ぶセキュリティ対策