gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

管理画面のインジェクションは無問題?

いや、たまたまそーゆー論調をちらりと拝見したので。


結論から書くと「管理画面の脆弱性だから、インジェクションがあっても特に問題が無い」は短視野的にはYesだけど現実的にはNo。
前提として「そのインジェクションによるデータのぶっ込みは、別の画面で、管理画面の機能として普通に提供されている」と仮定。
「提供されていない」ぶっ込みなら、短視野的にもNGなのは当たり前なので。


んと…結局の所管理画面だから。別の箇所で大体「なんでもできる」ので、インジェクションがあろうがなかろうが一緒。
つまり「他の場所で、インジェクションしたときと同じ操作が正規ルートでもできるんだから、別に騒ぎ立てるほどのこっちゃない」ってのは、この文脈においてYes。


ただこれって、物凄く短視野。


管理画面で、とは言っても「脆弱性がある」っていうことは。
その脆弱性の根っこが「管理画面とfrontで共通で使っている」可能性もあるわけだし、プログラムは切り分けてあるとしても、同じスキルの人たちが作っている以上「同じような脆弱性を、front側でも、別途作り込んでいる」可能性だって十分に想起される。


つまり「思考は習慣になり、習慣は行動になる」。


勿論「その脆弱性は意図的にわざと作り込んでます」って言い訳が出てくるかもしれないんだけど。
そも「本当に」わざと脆弱性を作る意味と意図が理解不能だし、そのわざと作った脆弱性を、その次に「ついうっかり」frontで使えば、アウトだし。
で、おそらくは「わざと」ではなくて「ついうっかり」脆弱性を作り込んでいる可能性の方が、当然ながら圧倒的に高いので。


故に。
「管理画面の脆弱性だから、インジェクションがあっても特に問題が無い」は短視野的にはYesだけど現実的にはNo。


この辺は「三流でとどまる」のか「一流を目指す」のか、っていう気概とかの類いの問題、なのかもなぁ、っと思いつつ、memo。