ケースA 落とした斧の種類を尋ねた際に攻撃を受けた事例 - 脆弱性を攻撃される童話事例集(鶴見トイ) - カクヨム
むかしむかし、ある森のそばに木こりが住んでいました。貧しいくらしをしていましたが、毎日いっしょうけんめい働いていました。 その日も、木こりは湖のそばで木を切っていました。森のなかには木こりが斧を木に打ち込む、カーンカーンという音が響いていました。 あとひとふりで木が倒れそうになったところで、木こりは力を込めて斧を振りました。しかしどうしたわけか、斧はすぽんと木こりの手から抜けてしまいました。斧はひゅーんと空を飛び、湖にボチャーンと落ちてしまいました。湖は底が見えないほど深く、斧はすぐに沈んでいってしまいました。 「ああ、どうしよう。斧はあの一本きりしかないのに。あれがなくちゃあ仕事ができなくて、俺は餓え死にしてしまう」 木こりが頭をかかえていると、湖の水面がだんだん盛り上がってくるではありませんか。木こりがぽかんとそれを見ている間に、水はどんどん高く盛り上がり、ついにはその中から人の形をし
Time-based SQL Injectionは意外に実用的だった
このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします。デモ映像ありです。 はじめに Time-based SQL Injectionという攻撃があります。これはブラインドSQLインジェクションの一種で、ある条件の場合に一定時間(例えば5秒)スリープし、そうでない時との応答時間の差で情報を盗もうというものです。1回のHTTPリクエストで1ビットの情報が得られるので、それを積み重ねることによって、いくらでも情報を盗めるはずです…理論的には。 しかし、「理屈はそうでも、時間が掛かりすぎるよね」ということで、深くは追っかけていませんでした。SQLインジェクションの検査には有効でも、悪用としての実用性はあまりないと考えていたのです。 きっかけ きっかけは、以下のYahoo!知恵袋に以下の質問です。 SQL
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あなたが知らない リレーショナルモデル
