Upgrade to Pro — share decks privately, control downloads, hide ads and more …

脆弱性について

Avatar for yuki21 yuki21
October 02, 2017

 脆弱性について

社内勉強会用資料

Avatar for yuki21

yuki21

October 02, 2017
Tweet

More Decks by yuki21

Other Decks in Technology

Transcript

  1. 例えば、メールアドレスとパスワードが一致したときにログイン するというプログラムを想定したとき、 SELECT * FROM member_t WHERE email = 'email'

    AND passwd = 'passwd'; というクエリを発行して、一致するレコードがあればそのユーザ としてログインを行います。
  2. SQLインジェクションの脆弱性が存在している場合、このクエリの emailに [email protected]'; ‐‐ という値を入れると SELECT * FROM member_t WHERE

    email = '[email protected]'; ‐‐' AND passwd = 'passwd'; となり、passwdが一致していないにも関わらずemailを [email protected]で登録しているユーザとしてログインできてしまい ました。 また、このようなSELECT文の後に、 DELETE FROM member_t; 等を入 力することでデータの改造や破壊もできてしまいます。