2004年1月8日(木曜日)
SQLコマンドインジェクション自爆
掲示板のデータを DataTable クラスで処理しようとして、Select メソッドにコメント先の URL を含む値を渡したら
System.Data.SyntaxErrorException
構文エラー : '/' 演算子の前にオペランドがありません。
などと言われて終了。ダイレクト SQL コマンドインジェクションのことを何も考えていなかったという……。
サニタイズすれば良いのは分かっているのですが、どうサニタイズすれば良いのかしら。意味のある文字が、これまたえらくたくさんあるような気がしますが……。
- 「SQLコマンドインジェクション自爆」へのコメント (11件)
朝日新聞一面トップの件 : 撤回
更新: 0204年1月8日
2004年1月5日の日記に、朝日新聞一面トップというコメントを書きましたが、この中に一部重大な事実誤認がありましたので撤回します。
私は以下のように書いていました。
AD2003 で思いっきり「実演」してしまったのは確かにやりすぎで、office さん自身もその点についてはマズかったと言っているわけですが、この書き方では、office さんが意図的に個人情報を公表したかのように思えてしまいます。特に「情報を保存した参加者もいた」などと書かれると、office さんがそのデータを人にほいほい渡していたような印象を受けます。
しかし、事実は違うでしょう。参加者は会場で自ら同じことをやってみて、直接取得したにちがいありません。もちろん、それはきわめて容易に可能だったわけで、そういう状況を作ってしまったことに問題はありますが、office さんが積極的に渡したわけではないはずです。
この部分は全面的に撤回します。当初、私は上記に書いたように推測しており、思ったことをそのまま書いていたのですが、この推測が間違っていた事が判明しました。
問題となった「個人情報漏洩」に関する事実関係は以下の通りです。
office さんがプレゼンテーションに使用された資料の中に、個人データ情報を実際に取得した画面のキャプチャが含まれていました。
キャプチャされた画面は、askaccs の実際の CSV データがブラウザに表示された状態ものでした。
その画面にはモザイクなどの処理が行われておらず、入力されたデータの内容が明確に判読できる状態でした。
記録されているデータは以下の通りです。
(自動的に記録されたと思われるもの)
- 送信時刻
- リモートホストの IP アドレス
(ユーザが入力したと思われるもの)
- 氏名
- 年齢
- 住所
- 電話番号
- メールアドレス
- 投稿内容
(ユーザが選択したと思われるもの)
- 職業 (選択肢から選ぶ)
キャプチャ画面から判読できるレコードはおよそ 7件分です。うち先頭の 3件は、内容から判断して設置時の動作テストのものと思われますが、実在すると思われる電話番号などが読み取れてしまいます。残り 4件は、実際のユーザの投稿内容と思われます。
このキャプチャが含まれる資料は、参加者がダウンロードして持ち帰ることが可能なようになっていました。
※追記 : office さん自身にはこのプレゼンテーション資料を配布するつもりはなく、ダウンロードできるようになるものとは知らなかったようです。
朝日新聞の言う「情報を保存した参加者」とは、この講演資料を保存した参加者を指すものと思われます。
これを踏まえると、office さんのしたことは私の想像した以上に「やりすぎ」で、office さんが個人情報を漏らしたという認識は誤りとは言えないと思います。このような内容の資料を配布してしまったのはきわめて重大な誤りであると言わざるを得ず、大変残念に思います。また、この資料を配付することを許した主催者の責任が問われる余地もあると思います。
※追記 : 主催者のコメントが出ていますね。「2004年1月4日の朝日新聞のACCS関連記事について (www.ad200x.net)」
※追記 : 念のために補足。資料による漏洩の他に、参加者が「自分で同じ事をやって取得した」可能性も否定できません。しかし、「ACCS運営ホームページのセキュリティ問題について (askaccs.ne.jp)」によれば、「ネット上での個人情報拡散を調査 → 確認されず
」ということなので、個人情報が取られたログは全て office さん本人によるアクセスであり、参加者が別途取得したようなログは残っていなかった……ということなのでしょう、たぶん。
※さらに追記 : office さん自身にはこのプレゼンテーション資料を配布するつもりはなく、ダウンロードできるようになるものとは知らなかったようです。
関連する話題: Web / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩
- 前(古い): 2004年1月7日(Wednesday)のえび日記
- 次(新しい): 2004年1月9日(Friday)のえび日記