何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。
- Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記
- http://blog.tokumaru.org/2015/04/time-based-sql-injection.html
条件に一致すればスリープが起きる、というSQLをインジェクションで挿入すれば、処理結果が画面等で確認できなくとも、応答時間自体が情報を伝えてくれる、ということですね。面白い。
いや、面白いとばかりは言っていられません。要するに「画面に出ないようにしてるし、大丈夫だよ」とか言ってるとやられるってことですね。気を付けないと。
最新!!データベース不正アクセスレポート―転ばぬ先のデータベースセキュリティ対策
- 作者: 大野祐一
- 出版社/メーカー: ソフトリサーチセンター
- 発売日: 2006/04
- メディア: 単行本
- クリック: 1回
- この商品を含むブログを見る
ひとごとではないデータベース情報の漏洩防止―事件簿から学ぶセキュリティ対策
- 作者: 北野晴人
- 出版社/メーカー: 技術評論社
- 発売日: 2004/09
- メディア: 単行本
- 購入: 1人 クリック: 1回
- この商品を含むブログ (3件) を見る