SQLインジェクションを自分のプログラムで行う実験をしたいのですが、うまく出来ません
SQLインジェクションを自分のプログラムで行う実験をしたいのですが、うまく出来ません。 あまり知識がないので初心者向けで説明していただけるとありがたいのですが、実験で自分のJSPプログラムにSQLインジェクションを行うためにログインフォームから受け取ったユーザとパスワードでMYSQLにアクセスし指定のテーブルを表示するプログラムを作っています。 環境はもちろんローカル環境です。 以下はプログラムの一部です。 String user = request.getParameter("user"); String pass = request.getParameter("pass"); String url= "jdbc:mysql://" + sv+ "/" + db + "?user=" + user + "&password=" + pass + "&useUnicode=true&cha
9割がパスワード使い回し、漏えいしたソニーのパスワードから分析 - うさぎ文学日記
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。 Troy Hunt: A brief Sony password analysis 以下の観点について分析がなされています。 長さ 文字空間(文字の種類) 乱数 一意性 この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。 ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。 その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。 ソニーとGawkerで比較した場合でも67%が使い回しだと判
CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました
すでにご存知の方も多いと思うのですが、CakePHPに深刻なセキュリティホールが見つかりました。 SecurityComponentの実装に問題があり、結果、外部から任意のコードを実行させることができるという深刻な内容です。 セキュリティホールの概要や攻撃手順については以下のエントリが詳しいですので、ご一読を。 CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす なお、今回の問題はSecurityComponentを利用していない場合は発生しません。 もしSecurityComponentを利用している場合は、以下のいずれかの方法で早急に対策してください。 1. CakePHP1.2.9 or 1.3.6にアップグレードする。 この脆弱性を受けて修正バージョンが出ています。 CakePHP 1.3.6 and 1.2.9 released | The Bake
第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPで作成する携帯会員サイトの基本
