CMS四天王のバリデーション状況を調査したところ意外な結果になった
バリデーションでSQLインジェクション攻撃をブロックしないCMSが多い ログインIDにおける典型的なSQLインジェクション攻撃として、'OR 1=1# をバリデーションがブロックするかどうかを確認しました。ログインIDとして許容される文字を見る限り、WordPress、Joomla、Drupalはブロックしそうですが、結果は下記の通りです。 WordPress: ブロックしない Joomla: ブロックする Drupal: ブロックしない MovableType: ブロックしない ということで、意外なことに、バリデーションでSQLインジェクション攻撃を止めるのはJoomlaのみという結果でした。 ログインIDにヌルバイトや改行が使えるCMSがある テストをしていてもっともびっくりしたことの一つがこれです。JoomlaとMovableTypeはヌルバイトや改行など制御文字がログインIDとして
君は会議室で怒りに震えたことはあるか?
Ira Wrath 七宗罪之– 愤怒 / Vivionitier 前回のお話「ウェブサイト改善コンサルティングのはじまりは会議室ではなく居酒屋から」は、こちらです。 さて、CMSの改善をしようということで 更新担当者の方からの要望リスト 検索エンジン対策の為の内部構造改善案リスト を作成し、現状のCMSを作成した会社さんとミーティングを行うことになったのですが、そこで我々(主に私ですが)は驚愕しました! やってきた某大手な会社の営業の人、なんにも理解していない! それを隠すことも無く丸投げする下請けの人を同席させる!! タグやカテゴリを追加するのにお金がかかる!!! 表示するテンプレートを追加するだけで100万単位の費用!!!! 1時間半位を想定していた総勢7名のミーティングは、20分位で話すことが無くなってしまいました。そのあまりにも不誠実な見積りと説明の数々に怒りで声が震えました。30
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
