SQLインジェクションゴルフ - なんと3文字で認証回避が可能に
昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していただきました。やまざきさんの例は、MySQL限定ながら、なんと3文字です。これはすごい。 @masa141421356さんの攻撃例 @masa141421356さんのツイートを引用します。 @ockeghem 大抵のDBでid=''OR' AND pwd='>' ' が通ると思います(id側に「'OR」, pwd側に「>' 」で6文字)。長さ0の文字列がNULL扱いされないDBなら最後のスペースを消して5文字です。 — masa141421356 (@masa141421356) June
「5年後はPostgreSQLがOracleを上回る」、LPI-Japanのイベントから
Linux関連の技術者認定試験を実施するLPI-Japanは2013年3月5日、ビジネスにおけるOSS活用を促す活動の一環として、「新たなビジネスを切り開くオープンソース」と題するイベントを開催した。仮想化やOSSデータベース、サポートなどをテーマに、セミナーに4人が登壇した。 講演に先立ち、LPI-Japanの成井弦氏(理事長、写真1)がOSSのビジネスモデルについて現状を分析。典型的なモデルは「貢献の競争に勝つ」「サポートで稼ぐ」「自社ソフトウエア(あるいは自社製品をサポートするソフトウエア)のオープンソース化」の三つがあるとした。 特に一つ目の「貢献の競争に勝つ」では、Android OSの改善において世界最大の貢献をしている韓国サムソン電子の取り組みに注目すべきという。「サムソンは大きな貢献をすることで、Android OSを自社にとって都合がいいように改変しつつある」(同氏)。一
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
