misc.log

日常茶飯事とお仕事と

Time Based SQL Injection、面白いですね

業務日誌セキュリティ DB

何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。

Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記: http://blog.tokumaru.org/2015/04/time-based-sql-injection.html

条件に一致すればスリープが起きる、というSQLをインジェクションで挿入すれば、処理結果が画面等で確認できなくとも、応答時間自体が情報を伝えてくれる、ということですね。面白い。

いや、面白いとばかりは言っていられません。要するに「画面に出ないようにしてるし、大丈夫だよ」とか言ってるとやられるってことですね。気を付けないと。

最新!!データベース不正アクセスレポート―転ばぬ先のデータベースセキュリティ対策

最新!!データベース不正アクセスレポート―転ばぬ先のデータベースセキュリティ対策

作者: 大野祐一
出版社/メーカー: ソフトリサーチセンター
発売日: 2006/04
メディア: 単行本
クリック: 1回
この商品を含むブログを見る

ひとごとではないデータベース情報の漏洩防止―事件簿から学ぶセキュリティ対策

ひとごとではないデータベース情報の漏洩防止―事件簿から学ぶセキュリティ対策

作者: 北野晴人
出版社/メーカー: 技術評論社
発売日: 2004/09
メディア: 単行本
購入: 1人クリック: 1回
この商品を含むブログ (3件) を見る