JSON SQL Injection、PHPならJSONなしでもできるよ | 徳丸浩の日記

2014/07/07 126 users JSON 徳丸浩 DeNA JSONデータ PHP

2014年7月7日月曜日 JSON SQL Injection、PHPならJSONなしでもできるよ DeNAの奥さんと、はるぷさんがJSON SQL Injectionについて公表されています。 The JSON SQL Injection Vulnerability 不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー) 上記の記事は、主に... 続きを読む

はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵

2009/12/13 294 users はまちちゃん 世界線航跡蔵 脆弱性報告 CSRF Ameba

はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そ... 続きを読む

SQL Injectionの仕組みと対策

2006/02/27 96 users セキュリティホール ワコール 対策 本質 関心

SQL Injectionの仕組みと対策 はじめに 最近Webアプリケーションの脆弱性に攻撃側の関心が高まり、数多くのWebアプリケーションのセキュリティホールによる情報漏えい事件が発生しています。 その中でもSQL Injectionは静岡新聞やワコール等で話題となり、大いに注目を集めるようになりました。ところが、未だに問題の本質を十分に理解していないため、対策漏れにより、情報漏えいが発生するな... 続きを読む