2009年4月3日(金曜日)
CakePHPガイドブック : 比較演算子インジェクション
公開: 2009年4月5日21時50分頃
「CakePHPガイドブック (www.amazon.co.jp)
昔のCakePHPではこんなふうに、「演算子 + 値」を引数として渡すことができるようになっていたそうで。
$list = $this->findAll(array('id' => '> ' . $id));
さらに、演算子が「=」の場合は省略できるので、こう書けます。
$list = $this->findAll(array('id' => $id));
……が、このとき、$id に '!=foo' なんて値が入っていると、その演算子が使われてしまうという罠。なんという罠仕様……。
CakePHP1.2からは、値ではなくキーの方に演算子をつけるようになったとのことです。
- 「CakePHPガイドブック : 比較演算子インジェクション」にコメントを書く
関連する話題: セキュリティ
組織の幹部は公にしない方針
公開: 2009年4月5日19時20分頃
コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について (www.ipa.go.jp)」。
「被害事例」にひどすぎる話が。
IPA の SQL インジェクション検出ツール「iLogScanner」でログをチェックしたところ、攻撃が成功していたと思われる形跡が数万件検知された。半年も前から、攻撃が続いていたようだ。
しかし、組織の幹部はこの事実を公にしない方針らしく、さらなる調査を進めることができない。
うわぁ。これはひどい。
検知の状況からして、「脆弱性はあるが攻撃されていない」というような状態ではなく、既にいろいろやられてしまっている可能性がかなり高いでしょうしね……。
関連する話題: セキュリティ
- 前(古い): 2009年4月2日(Thursday)のえび日記
- 次(新しい): 2009年4月6日(Monday)のえび日記
