活断層にSQLインジェクション攻撃実施

本日はSQLインジェクションについてのLTを行いました。実際にスクリプトを動かして非常面白い内容でした。 pic.twitter.com/YmhAWylCXF

SQLインジェクションされるガンダムに想いを馳せてる

XSS対策、CSRF対策、SQLインジェクション、セッションハイジャックの攻撃手法と対策について整理した良記事。掲示板は、簡単に作ろうと思えば作れるけど、こうしたセキュリティ対策が施されていないと、あっという間に悪意のある第三者によって〈踏み台〉にされてしまう。

SQLインジェクション SQL文（クエリ）の中に、意図しない内容を入れることで不正な命令を出し、データベースでの誤作動を引き起こす攻撃のこと。 #プログラミング #プログラミング用語 #プログラミング学習

プログラミング初心者がハマりがちなセキュリティのワナが SQLインジェクション！ これはハマりがちだけど、ハマった時にはかなりのリスクがあるので最初に覚えたいセキュリティ対策です！ ぜひ、覚えておいてください！ pic.twitter.com/hkDEXnnuQh

返信先:@ryo_950904XSS、SQLインジェクション、CSRE対策忘れないでね。。。。

【AWS SAAメモ】 AWS WAF ・OSI参照モデル7層(アプリケーション層)を保護 ・SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション、DDoS攻撃などを防ぐ ・作成したルールをCloudFront、ALB、API Gateway等に設定可能 ・アプリケーション毎にルールを再作成する必要なし

任意の記号(流石にASCII範囲であろう)は怖いが、文字列でもSQLインジェクションできうるのであんまり変わらない模様 空白入力を潰せば結構切れそうではあるけどね、詳しくないから分からないね

こんにちはKyunです 積み上げ備忘録415日目 ✅ 腹筋前左右/各50 ✅ ｴｱﾛﾊﾞｲｸ10km ✅ DockerMastery(57~/213) ✅ 達人が学ぶSQL徹底指南書（111~/608） ✅ FE開発のためのｾｷｭﾘﾃｨ入門（161~/440） ✅ React完全入門G(197~/264) SQLｲﾝｼﾞｪｸｼｮﾝ😨 今日も楽しく積み上げていきます！

ionet、ある程度期待してるけど、SQLインジェクションくらったとか言ってるし、バグやたら大石、なんかそのうちgithubとか乗っ取られてウイルス埋め込まれて…とか余裕でありそうで、それが非常に恐ろしい。。。

Xのold垢ってほとんどが乗っ取り垢なんだよな。具体的には、ChromeとかのブラウザからCookieとかユーザ名とパスワードを乗っ取るウイルスをパソコンに感染させて乗っ取ったり、脆弱性のあるサーバーに対してSQLインジェクションっていうハッキングで基本盗んでる。

返信先:@work_himaorg・セキュリティ面でやっておかなければいけないこと これもそんな多くはないと思います プログラムの側でいうと ・基本的にはSQLインジェクションの対策 ・蓄積系のクロスサイトスクリプティング対応 DB側の設定で ・アカウントの種類やテーブルなどのリソースに対するアクセス制御の設定…

このやりとりもっと広まってほしいなぁ。 SQLインジェクションだけに限らず、非機能設計とリスクの運用設計を考えさせられる良い問答だと思いました！

返信先:@work_himaorgいらん助言しますね ステートメントというものがあります。これはどの言語にも大体実装されてるんですが、SQLインジェクションっていう攻撃から守るために利用する必要があります。文字列の結合でクエリを作るとエラー吐く原因になったり攻撃のきっかけにされたりします。

執筆実績のあるキーワード 【セキュリティ関連②】 ・エンドポイント ・多様性認証（MFA） ・シングルサインオン ・WAF ・IDS ・IPS ・ログ分析 ・ログ監視 ・SIEM ・CASB ・CSIRT ・SOAR ・マルウェア ・Emote ・SQLインジェクション ・不正アクセス ・標的型攻撃 ・フィッシング #セキュリティ

自宅サバのログを見てて怪しいなぁと思ったアクセス元の多くがAWS EC2で使われているIPアドレス範囲からだったので。SQLインジェクションとかsshのログイン試行とかばかりで大した話じゃないんだけど。

「SQLインジェクションがまた増えている」ということに関しては、おっセキュリティ業界またサボってるな？という感想のみです

今時のFWで普通に（FWデフォルト方法で）作ったらSQLインジェクションなんて作れない ↓ それが当然になって話題にならなくなる ↓ 「当然」前提としたパフォーマンス改善等の知見は常に話題になる ↓ 普通に作るメリットを知らない層がそれだけ見て脆弱性を作り込む とかなのかしら

返信先:@someone7140SQLインジェクション…

個人的な感覚では「SQLインジェクションはすっかり診断ではお目にかかれなくなり」ということもなく毎年一定数は見ているので、退化と言うよりは開発会社とか開発環境によるんじゃないのかなあとか思ってる

SQLインジェクション、クロスサイトリクエストフォージェリ、セッション・ハイジャック ここら辺は必須だけど対策方にコード例書くのがめんどくさかった！というか調べればいくらでもすぐ出てくる 他にもOSコマンド・インジェクションやらメールヘッダーインジェクションとかあるけど調べれば〜

"しかし、2～3年前から、SQLインジェクションが出始めていまして、今ではすっかり珍しくもない状況です" こういう世代交代に伴うギャップや退化っていろいろありそうだよね。実際あるし mond.how/ja/topics/gvvq…

さすがにこれはちょっとなあ。 フロントにDBの接続情報書かせるのもそうだし、SQLインジェクションし放題だし…… READMEに本番で使うなって書いてはあるけどさ😥 qiita.com/7mpy/items/bf9…

SQLインジェクションでオービスぶっ壊そうとしてる画像やっと見つけた pic.twitter.com/sgMBa4nHYo

SQLインジェクションが任意のwebアプリでできる時代を生きたかった

SQLインジェクションの実演わかりやすい

ログインシステムにSQLインジェクションしたくなっちゃうけどぐっとこらえてる

GrafanaのSQLパッケージにSQLインジェクションの深刻な脆弱性との指摘。SqlDatasource.tsにおいて、GrafanaバックエンドからのSQLが適切に検証されていないことが原因。Grafana公式は仕様との見解で、データソース側でのSQLインジェクション対策が緩和策。 gbhackers.com/grafana-tool-v…

返信先:@793kamuya基本、不正アクセス禁止法に引っかかりますね。SQLインジェクション自体について明確に判断を下した判例ではないですが、ACCS裁判での「FTPで管理してるファイルをCGIの脆弱性で取得したので、FTPのアクセス制御を回避したわけではないから無罪」という主張は、まあ、当然ですが蹴られてるので……

SQLインジェクション攻撃から守るために、プレースホルダーを使用しましょう！ #SQL #セキュリティ

IONETがセキュリティインシデントレポートを公開📢 - 全ユーザーのUUID（ID）が露出する問題を以前に発見🔍 - 攻撃者はIDを利用して不正なデバイスを作成可能に😱 - IDからアクセストークンを生成し、SQLインジェクション攻撃を実行🐛 - ネットワーク全体のデバイスメタデータを改ざん可能に👾

練習問題10-8 PHPファイルのSQLインジェクションへの脆弱性箇所を特定する問題。攻略でも利用したPHPファイルは、GETで渡される値を直接変数に入れていることが問題点かな。 本題のindex.phpもPOSTに代わっただけで、理屈は同じっぽいが攻撃を実現させることはできず、タイムアップ。 pic.twitter.com/QaxJQ2ny9n

SELECT文かけるんだね。 SQLインジェクションとか大丈夫なのかなぁと心配しました！

『ハッキング・ラボ』EXP#10　完了 辞書攻撃とSQLインジェクションで殴ってたら攻略 パワーとテクニカルな感じ←？ 練習問題は大問８つという鬼の量でした。気になったやつを後でピックアップします。 pic.twitter.com/ln52QkDnmd

SQLインジェクション

対戦表見ようと思ったらSQL表示されてるの草 SQLインジェクションできそう

YCSJ君下手したらSQLインジェクション引き起こせるまである

返信先:@g_mrnmnSQLインジェクションの反応を見るだけでそれ自体にあんまり意味はないかも( ˘ω˘)（そもそも実行できるのか知らん）