Time-based SQL Injectionは意外に実用的だった
このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします。デモ映像ありです。 はじめに Time-based SQL Injectionという攻撃があります。これはブラインドSQLインジェクションの一種で、ある条件の場合に一定時間(例えば5秒)スリープし、そうでない時との応答時間の差で情報を盗もうというものです。1回のHTTPリクエストで1ビットの情報が得られるので、それを積み重ねることによって、いくらでも情報を盗めるはずです…理論的には。 しかし、「理屈はそうでも、時間が掛かりすぎるよね」ということで、深くは追っかけていませんでした。SQLインジェクションの検査には有効でも、悪用としての実用性はあまりないと考えていたのです。 きっかけ きっかけは、以下のYahoo!知恵袋に以下の質問です。 SQL
あと48時間あれば作業を終わらせられると勘違いしていた72時間前の自分へ。 - テラシュールブログ
自分よ、よく聞きなさい。 君はあと48時間以内に資料を完成させる必要がある事は良くわかるし、それ以外に色々と問題が発生していた事も知っている。 しかし、72時間前の自分よ、よく聞いてくれ。君は大きな大きな勘違いをしている。 まず48時間という時間はフルには使えない事を思い出すべきだ。まず寝る時間が入ってないし、そもそも君は休憩を入れないと集中を継続できない。 問題は休憩を入れた後に再度潜る為には、とても高い集中力とモチベーションが要る事だ。そして寝る時間が減ると、継続して集中出来る時間が減る。貫徹すると何をするにしても惰性でしか作業が出来なくなる。 これから君がやるような、潜ってないと効率が出ないような作業は先に終わらせておくべきだ。上から順ではなく、それを念頭にスケジュールを考えるんだ。 暴飲・暴食にも気をつけるんだ。君はこれから大体30時間後くらいに体が熱を発生させることが出来なくなっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
