はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ SQLインジェクション脆弱性

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 15 / 15件)
 

静的解析ツールで生まれたSQLインジェクション | ドクセル

2023/09/04 このエントリーをはてなブックマークに追加 112 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション ドクセル 静的解析ツール SQLi

面白かった脆弱性 - CVE-2023-22727 PHPフレームワーク CakePHP 4 のSQLインジェクション脆弱性 ORM limit(), offset() でSQLi CVSS v3 9.8 2023/01に修正済み CakePHP Laravelの次に使用率高いフレームワーク(多分) 割と使いやすいからお勧め 一般にコード品質が上がる静的解析ツールの使用で逆に発生 続きを読む

アカウント情報流出サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く | スラド オープンソース

2020/06/09 このエントリーをはてなブックマークに追加 17 users Instapaper Pocket Tweet Facebook Share Evernote Clip スラド HIBP ヘルプデスク headless曰く テキスト

headless曰く、 アカウント情報流出通知サービスHave I been pwned?(HIBP)からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ(fyr.io、The Register)。 問題の脆... 続きを読む

WordPressのプラグインNextGEN GalleryのSQLインジェクション脆弱性について検証した | 徳丸浩の日記

2017/03/05 このエントリーをはてなブックマークに追加 37 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 WordPress prepare 日記 残存

エグゼクティブサマリ WordPressのプラグインNextGEN Gallery for WordPress 2.1.79未満にはSQLインジェクション脆弱性があり、早急なバージョンアップを推奨する。当該脆弱性は潜在的にWordPressの内部メソッドwpdb::prepareの仕様上の問題が原因であり、他のプラグインにも類似脆弱性の残存の可能性がある。このため、この問題の影響を受けない安全な実... 続きを読む

今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料

2015/10/03 このエントリーをはてなブックマークに追加 403 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション アジェンダ 徳丸 今どき ジヨン

Phpcon2015 1. 今どきのSQLインジェクションの話題総まとめ HASHコンサルティング株式会社 徳丸 浩 2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Z... 続きを読む

徳丸浩の日記: SQLインジェクション対策もれの責任を開発会社に問う判決

2015/01/22 このエントリーをはてなブックマークに追加 88 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 SQLインジェクション対策 判決 Privacy 北大

1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側が勝訴したとのことです。 判決はこのURLで読むことができます。以下、判例時報2221... 続きを読む

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

2015/01/22 このエントリーをはてなブックマークに追加 1280 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 SQLインジェクション対策 判決 Privacy 北大

2015年1月22日木曜日 SQLインジェクション対策もれの責任を開発会社に問う判決 1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例 この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側... 続きを読む

INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか? — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2015/01/06 このエントリーをはてなブックマークに追加 62 users Instapaper Pocket Tweet Facebook Share Evernote Clip ockeghem Reloaded 徳丸 Form 悪用

INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸 浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む

DrupalのSQLインジェクションCVE-2014-3704について調べてみた | 徳丸浩の日記

2014/10/20 このエントリーをはてなブックマークに追加 55 users Instapaper Pocket Tweet Facebook Share Evernote Clip Drupal 徳丸浩 ログイ クエリログ MySQL

2014年10月20日月曜日 DrupalのSQLインジェクションCVE-2014-3704について調べてみた 既に日本でも報道されているように、著名なCMSであるDrupalのバージョン7系にはSQLインジェクション脆弱性があります(CVE-2014-3704)。この脆弱性について調査した内容を報告します。 ログイン時のSQL文を調べてみる MySQLのクエリログを有効にして、Drupaのログイ... 続きを読む

Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記

2013/01/03 このエントリーをはてなブックマークに追加 149 users Instapaper Pocket Tweet Facebook Share Evernote Clip エントリ 徳丸浩 メソッド find_by 概要

2013年1月3日木曜日 Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Ra... 続きを読む

ブラインドSQLインジェクションのスクリプトをPHPで書いたよ #phpadvent2012 | 徳丸浩の日記

2012/12/20 このエントリーをはてなブックマークに追加 128 users Instapaper Pocket Tweet Facebook Share Evernote Clip ブラインドSQLインジェクション 徳丸浩 スクリプト PHP

2012年12月20日木曜日 ブラインドSQLインジェクションのスクリプトをPHPで書いたよ #phpadvent2012 この記事はPHP Advent Calendar 2012の20日目です。昨日はTakayuki Miwaさんの「ComposerとHerokuではじめる!PHPクラウド生活」でした。 以前、「『よくわかるPHPの教科書』のSQLインジェクション脆弱性」というタイトルで、同書... 続きを読む

「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem(徳丸浩)の日記

2011/11/08 このエントリーをはてなブックマークに追加 498 users Instapaper Pocket Tweet Facebook Share Evernote Clip ockeghem ファイナルアンサー 徳丸浩 SQL エントリ

このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。この状況で、セキュリティのことをよ... 続きを読む

『よくわかるPHPの教科書』のSQLインジェクション脆弱性 - ockeghem(徳丸浩)の日記

2011/09/26 このエントリーをはてなブックマークに追加 113 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション エントリ ockeghem 徳丸浩

このエントリでは、数値型の列に対するSQLインジェクションについて説明します。以前のエントリで、たにぐちまことさんの書かれた『よくわかるPHPの教科書』の脆弱性について指摘しました。その際に、『私が見た範囲ではSQLインジェクション脆弱性はありませんでした』と書きましたが、その後PHPカンファレンス2011の講演準備をしている際に、同書を見ていてSQLインジェクション脆弱性があることに気がつきまし... 続きを読む

ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) - 徳丸浩の日記

2011/06/19 このエントリーをはてなブックマークに追加 18 users Instapaper Pocket Tweet Facebook Share Evernote Clip PDO プレースホルダ SQLインジェクション 徳丸浩 初稿

●ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 はじめに 本を書いています。SQLインジェクションの節から書き始めて、初稿はレビュアーの方々にお送り... 続きを読む

ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)

2010/07/01 このエントリーをはてなブックマークに追加 181 users Instapaper Pocket Tweet Facebook Share Evernote Clip PDO プレースホルダ SQLインジェクション レビュアー

●ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 はじめに 本を書いています。SQLインジェクションの節から書き始めて、初稿はレビュアーの方々にお送り... 続きを読む

【PostgreSQLウォッチ】第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響:ITpro

2006/05/29 このエントリーをはてなブックマークに追加 85 users Instapaper Pocket Tweet Facebook Share Evernote Clip restore 修正 影響 PostgreSQL 第27回

【PostgreSQLウォッチ】第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 連載目次へ >> SQLインジェクションに関する脆弱性の修正などを行ったPostgreSQL 8.1.4,8.0.8,7.4.13,7.3.15の各バージョンが,5月23日一斉にリリースされた(関連記事)。いずれも同じメジャーバージョン系列であれば,dump/restoreによるデータ移行なし... 続きを読む

 
(1 - 15 / 15件)