CMS四天王のバリデーション状況を調査したところ意外な結果になった

バリデーションでSQLインジェクション攻撃をブロックしないCMSが多い ログインIDにおける典型的なSQLインジェクション攻撃として、'OR 1=1# をバリデーションがブロックするかどうかを確認しました。ログインIDとして許容される文字を見る限り、WordPress、Joomla、Drupalはブロックしそうですが、結果は下記の通りです。 WordPress: ブロックしない Joomla: ブロックする Drupal: ブロックしない MovableType: ブロックしない ということで、意外なことに、バリデーションでSQLインジェクション攻撃を止めるのはJoomlaのみという結果でした。 ログインIDにヌルバイトや改行が使えるCMSがある テストをしていてもっともびっくりしたことの一つがこれです。JoomlaとMovableTypeはヌルバイトや改行など制御文字がログインIDとして

[sho]

重要なのは(実害の少ない)バグはあったがセキュリティホールは見つからなかったという点。つまり「脆弱性対策としてバリデーションを」という主張はミスリードになりうる。

[naga_sawa]

意外にログイン情報のバリデーションゆるゆるなのね/[a-zA-Z0-9]{8,16} みたいに字数や文字種をガチガチにしてるものかと/パスワードを勝手に大文字変換してから登録してログインできなくなるカード会社もあったしなぁ…

[clavier]

CMS四天王のバリデーション状況を調査したところ意外な結果になった | 徳丸浩の日記

[mumincacao]

STRICT もーど有効にしてないと重複したゆーざ名で登録できちゃうのかぁ・・・ Joomla さんで試してみたら重複とか無視して一人目のぱすわーどと照合するだけだったのです（・ω・；【みかん

[dai_air]

見てれぅ「CMS四天王のバリデーション状況を調査したところ意外な結果になった | 徳丸浩の日記 」

[teppeis]

「タグをサニタイズした後登録される」何を言っているのかよく分からない

[ww_zero]

データの不整合を起こす可能性はチェックしておきたいなあ

[elu_18]

徳丸浩の日記: CMS四天王のバリデーション状況を調査したところ意外な結果になった 今回の徳丸さんの記事、すげぇおもしろい。 http://t.co/lnCtFHv5Sa

[yoh596]

ﾜﾛﾀ

[TERRAZI]

四天王っていうから「ククク…奴は四天王の中でも最弱…」ってのと思ったら違った。

[key_amb]

四天王といえどもバグはある。

[progrhyme]

四天王といえどもバグはある。

[Ashizawa]

私がいまさら指摘するまでもなく、グローバル（日本以外の多く）では脆弱性対策としてバリデーションが極めて重視されています。一々参照や引用はしませんが、海外の多くの標準において、バリデーションが重要なセキ

[metamix]

MT凄いんだか駄目なんだかようわからんw

[a_suenami]

データ不整合だけは本当に怖いのでDBの制約でできるだけがんばりたい。（もちろんバリデーションするけど）

[Jxck]

“バリデーションの本来の目的は、このような不整合を防ぎ、潜在的なバグを減らすことにあると考えます。”

[masaru_b_cl]

“バリデーションの目的は、予期しない入力値によりデータベースの不整合その他の不具合を予防することにある”

[koyhoge]

使用できる文字種や長さを定義しておきながら、それに適した入力チェックを行っていないということかー。長大な文字、不正エンコーディング、ヌルバイトあたりは失念多そう。

[s99e209]

Drupalはセキュリティに強いと言われているのでフォームバリデーションにSQLインジェクション対策がされていそうだが、自分で実装する必要あり。 CMS四天王を比較すると一長一短ですな。

[t-wada]

"バリデーションの目的は、予期しない入力値によりデータベースの不整合その他の不具合を予防することにある"

[avalon1982]

“バリデーションでSQLインジェクション攻撃をブロックしないCMSが多い”

[yagitoshiro]

こういう文字列を切り捨てるだけのMySQLの挙動は好きになれないなあ：

[snowcrush]

結局四天王の中で最弱はどれなんですか？

[hylom]

実装は容易そうなのにやっていない辺りが興味深い。