SQLインジェクション対策不備の責任　東京地判平30.10.26（平29ワ40110） - IT・システム判例メモ

2019/08/30 512 users IPA IT・システム判例メモ 責任 納品 本件システム

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは，Yに対し，Xの提供する車・バイクの一括査定システム（本件システム）の開発を約320万円で委託し，平成24年9月に納品を受けた。 その後Xは，平成28年12月に，IPA*1から，中国のサイトに本件システムの脆弱性に関する... 続きを読む

【個人情報】急にSQLインジェクションとか言われても分かんないよ！ | 浮遊する無名作家の浅慮

2016/12/03 40 users SQLインジェクション 浅慮 無名作家 分かん うち

個人情報漏洩関係の問題で、今でも一つ、大きな問題として悩まされているのが 『SQLインジェクション』 。 何らかの形でシステムを運用する方は、聞いた事もあるのではないでしょうか。 でも、唐突に『SQLインジェクション』なんて言われても困っちゃいますよね。 システムを運用していたりすると、とあるお偉方からこう言われたりする訳ですよ。 「うちってSQLインジェクション対策大丈夫なの？」 まあ実際にこん... 続きを読む

SQLインジェクション対策の極意はSQL文を組み立てないことにあり (1/4)：CodeZine（コードジン）

2016/01/29 76 users CodeZine 極意 シングルクォート SQL文 コードジン

文字列O'Reillyに含まれるアポストロフィ（シングルクォート）により、author=の後の文字列が終端し、あとに続くReilly' が文字列の外にはみ出しています。上記はSQL文として正しくないためにエラーになります。しかし、そのあとに続くReillyの箇所に、SQL文としてエラーにならないようにつじつまを合わせると、攻撃者が元のSQL文の意味を変えることができます。これが SQLインジェクシ... 続きを読む

今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料

2015/10/03 403 users SQLインジェクション アジェンダ 徳丸 今どき ジヨン

Phpcon2015 1. 今どきのSQLインジェクションの話題総まとめ HASHコンサルティング株式会社 徳丸 浩 2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Z... 続きを読む

SQLインジェクション対策漏れが重過失認定された判決文を読んだメモ | F's Garage＠fshin2000

2015/01/23 30 users F's Garage＠fshin2000 重過失 徳丸浩

徳丸さんの記事をたどって、判決文読んだ。 SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記 技術面に限った僕的解釈メモ（あくまで個人的な読書メモですので、正確な内容はこちらをご参考ください） ・カード番号の保存は、売り掛け金についてのカード業者を特定するための仕様追加。 ・決済業者へのリンク型の決済を、自社サーバ経由の決済に切り替えた時に全てのカード情報を保存していた。 ... 続きを読む

徳丸浩の日記: SQLインジェクション対策もれの責任を開発会社に問う判決

2015/01/22 88 users 徳丸浩 判決 Privacy 判例時報 北大

1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側が勝訴したとのことです。 判決はこのURLで読むことができます。以下、判例時報2221... 続きを読む

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

2015/01/22 1280 users 徳丸浩 判決 Privacy 北大 責任

2015年1月22日木曜日 SQLインジェクション対策もれの責任を開発会社に問う判決 1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側... 続きを読む

ニュース - データ盗難の原因はSQLインジェクション――AppSec 2014で警鐘：ITpro

2014/03/20 14 users ITpro ソフトウェアライブラリ OWASP 過半数 注意喚

写真2●OWASPがまとめた2013年版の「OWASP TOP10」。昨年と比較して、「脆弱性を持つソフトウエアライブラリの使用」が新たに9位にランクイン。 「Webアプリケーションからデータを盗まれる原因の過半数は、SQLインジェクションの脆弱性である。SQLインジェクション対策は、簡単なのに実行されていない。その理由は、啓蒙不足ではないか」――Webアプリケーション開発者へセキュリティの注意喚... 続きを読む

SQL識別子は結局どうすればよいか | 徳丸浩の日記

2013/12/27 62 users 徳丸浩 エスケープ 本稿 パク SQL文

2013年12月27日金曜日 SQL識別子は結局どうすればよいか 今まで2回にわたって、SQL識別子のエスケープの問題を取り上げました。 間違いだらけのSQL識別子エスケープ SQL識別子エスケープのバグの事例 3回目となる本稿では、SQL識別子の取り扱いに関する問題を整理して､一般的な原則を導きたいと思います。 SQL文が動的に変化する場合のSQLインジェクション対策 「間違いだらけの…」で示し... 続きを読む

俺の脳内選択肢が、SQLインジェクション対策を全力で邪魔している — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2013/12/19 74 users Reloaded PDO ワナ PHP 全力

PHP Advent Calendar 2013 in Adventarの19日目です。昨日も私の「PDOでの数値列の扱いにはワナがいっぱい（2）」でした。 うっかりtogetterなんか見てしまい、無駄に時間を使ってしまったと後悔した上に混乱してしまい余計にわからなくなってしまった人もいるかも知れません。 そこで、せっかくの機会なので、SQLインジェクション対策について、現在の私の考えをまとめて... 続きを読む

SQLインジェクション対策について

2013/12/16 125 users Query MySQL select インジェクション SQL

SQLインジェクション対策について 教育的な観点ではなく実務的な観点から、僕の考えをまとめてみる。UTF-8 を利用し、SET NAMES を利用していなくて mysql で、クライアントプリペアドステートメントなケースを想定している。 SQL インジェクションとは $foo=$_POST[‘id’]; query(“SELECT * FROM foo WHERE id=$foo”); のように外... 続きを読む

漢(オトコ)のコンピュータ道: SQLインジェクション対策に正解はない

2013/12/14 233 users オトコ コンピュータ道

2013-12-14 SQLインジェクション対策に正解はない 最近、SQLインジェクションのネタが盛り上がってるようだ。下記のTogetterまとめあたりが震源地だろうか。 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ まとめを読んだ感想としては、「どちらの意見も間違ってはいな... 続きを読む

自己流のSQLインジェクション対策は危険 | 徳丸浩の日記

2013/02/23 232 users 徳丸浩 SQLインジェクション スクリプト GET 自己流

2013年2月23日土曜日 自己流のSQLインジェクション対策は危険 SQLインジェクションについて解説したブログ記事を読んだところ、ユニークな対策方法が紹介されていました。この対策方法の問題点について解説し、正しい脆弱性対処の重要性を説明します。 ユニークなSQLインジェクション対策 SQLインジェクションのブログ記事を読んでいて、対策として以下のスクリプトが紹介されていました。 $_GET[i... 続きを読む

徳丸浩の日記: 「クロスサイトスクリプティング対策」でGoogle検索して上位15記事を検証した

2012/04/11 139 users クロスサイトスクリプティング対策 徳丸浩 XSS 日記 好評

2012年4月11日水曜日 「クロスサイトスクリプティング対策」でGoogle検索して上位15記事を検証した 昨年の11月にブログエントリ『「SQLインジェクション対策」でGoogle検索して上位15記事を検証した』という記事を書いたところ、非常に好評で、「次はXSSについて書いてください」という要望をいただいておりました。中々XSSについては手がついておりませんでしたが、ようやく書いてみました。... 続きを読む

妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - ＊「ふっかつのじゅもんがちがいます。」withぬこ

2011/12/01 70 users ふっかつ プレースホルダ じゅもん バリデーション 所作

繰り返しになりますが、妥当性検証は仕様の問題であってセキュリティ対策ではありません。バリデーションは仕様の問題であってセキュリティ対策ではないとはどういうことか説明します。SQLインジェクションの対策は、1. SQLを文字列結合で作らない 2. プレースホルダを使う です。バリデーションは関係ありません。 簡単な例Webアプリケーションで郵便番号を指定するフォームを考えましょう。日本の郵便番号を指... 続きを読む

「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記

2011/11/08 498 users ockeghem ファイナルアンサー 徳丸浩 SQL エントリ

このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー（後述）を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。この状況で、セキュリティのことをよ... 続きを読む

徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性

2009/08/05 223 users XSS 徳丸浩 エントリ コンサルティング 組み合わせ

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログイ... 続きを読む