色々締め切りに追われてるので orz
雑にざっくりとmemo。
Cookieを使用したSQLインジェクション
http://www.lac.co.jp/info/rrics_report/csl20081002.html
http://slashdot.jp/security/08/10/06/063250.shtml
えと…「エスケープ処理は出口で用途に合わせて」って原則を守れば、それがpostから入ろうがgetからだろうがcookieからだろうが関係ないはずなのですが。
如何に原則が無視されているかがよくわかります orz
「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明
http://itpro.nikkeibp.co.jp/article/NEWS/20081006/316229/
………で?
ちゃんと「躾けられたエスケープ処理」してれば防げると思うのですが?
それとも「出口で適切なエスケープ処理をしてもかいくぐられる」injectionだったんでしょうか?
だとしたら確かに新機軸ですが。
ゴルフダイジェスト・オンラインに不正アクセス--個人情報漏洩は「事実ない」
http://japan.zdnet.com/news/sec/story/0,2000056194,20381399,00.htm
「個人情報漏洩の事実は確認されていないという。」とか言われても…「漏れてない」のか「漏れたのが認識できてない」のかが不明だしぃ。
いぢょ ノ