ariyasacca

カテゴリ一覧

Biz | SF | Software | tDiary | Web | ゲーム | サバティカル | スポーツ | ミステリ | メタル | 健康 | 投資 | 携帯 | 時事ネタ | 死生観 | 資格 | 雑記
2004|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|05|06|07|08|09|10|11|12|
2016|01|02|03|04|05|06|07|08|09|10|11|12|
2017|01|02|03|04|05|06|07|08|09|10|11|12|
2018|01|02|03|04|05|06|07|08|09|10|11|12|
2019|01|02|03|04|05|06|07|08|09|10|11|12|

2005-05-25 (水) [長年日記]

[時事ネタ][Web] 価格.comへの攻撃手法はSQLインジェクション?

価格.comのサイトが書き換えられた事件について連日報道されていますが、アサヒコムに割ととんでもないことが載っているわけだが。

関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「SQL」で操作する。今回の攻撃は「SQLインジェクション」と呼ばれる手法を応用。攻撃者が利用者のふりをしてデータを入力し、戻ってきたエラーメッセージなどを解析しながらシステムを把握して、データベースを支配下に置いていったとみられる。

このアサヒコムの記事が真実であればの話ですが、入力フォームから投げられたSQLコマンドをサニタイジングしてないようなWebアプリケーションは、最高レベルのセキュリティどころか最悪です。「当社に過失はなかった」と言い切ってしまう社長もかなり肝っ玉の座った方です。

どこぞの会社に発注して丸投げで作らせてたのかもしれんけど。納品前に一体どんなテストやったのかと・・・。

本当はきちんとリプレースしなきゃ不味いようなサイトは価格.com以外にも沢山あるはずですが、大昔に作られたPerlのプログラムソースが読みにくい上に作った本人は退社とかで、誰もやりたがらないといったケースが蔓延しています。恐ろしい世界。いい加減発注先相手に値切ったりとかの交渉もやめたほうがいいと思います。そりゃ赤字になる案件ばかりじゃ、まともに作ってる暇は無いって会社も出て来ますって。


最近のツッコミ

  1. ウルトラマン (2019-04-18(木)19:22)「声優代節約の為やぞ」
  2. ああああ (2019-03-28(木)15:19)「バージョンは好きにしていいのか。 」
  3. 雷悶 (2019-01-06(日)09:46)「時代はProっしょ~」

参号館  の中の  日記(ariyasacca)

トップ «前の日記(2005-05-24 (火)) 最新 次の日記(2005-05-26 (木))» 編集