JSON SQL Injection、PHPならJSONなしでもできるよ | 徳丸浩の日記

2014/07/07 126 users JSON 徳丸浩 DeNA JSONデータ PHP

2014年7月7日月曜日 JSON SQL Injection、PHPならJSONなしでもできるよ DeNAの奥さんと、はるぷさんがJSON SQL Injectionについて公表されています。 The JSON SQL Injection Vulnerability 不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー) 上記の記事は、主に... 続きを読む

はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵

2009/12/13 294 users はまちちゃん 世界線航跡蔵 脆弱性報告 CSRF Ameba

はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そ... 続きを読む