SQL インジェクション

Transcript

1. None

2. SQL インジェク ション B2 asupara

3. SQLインジェクションに対する理解1 • インジェクション：意図しないコードをシステムに注入し実行させ ること • SQLインジェクション：インジェクションで意図しないSQLコード を実行させること (例) 通常は参照できないデータベースの値を盗み見たり データを破壊したり改ざんしたりすることなど

   ⚠️SQLインジェクションを実際に行う犯罪 2022/4/30 Ritsumeikan Security Team 3

4. SQLインジェクションに対する理解2 2022/4/30 Ritsumeikan Security Team 4

5. SQLインジェクションの簡単な実演 (出典:paiza learning) 2022/4/30 Ritsumeikan Security Team 5 ◦悪意のある攻撃者「eve」としてログインし aliceのパスワードを盗み出す。

6. SQLインジェクションの簡単な実演 2022/4/30 Ritsumeinan Security Team 6 ◦ 入れた！！！！！！

7. SQLインジェクションの簡単な実演 2022/4/30 Ritsumeikan Security Team 7 1.表が見える 2.Helloを検索 (ワード検索) 3.右クリック->フレームのソースを表示

8. SQLインジェクションの簡単な実演(SQL 文の表示) 2022/4/30 Ritsumeikan Security Team 8 [debug SQL]の中にHelloを含ん だSQL文が見える

9. SQLインジェクションの簡単な実演(SQL 文の表示) 2022/4/30 Ritsumeikan Security Team 9 ◦ 今度はputsとしてみよう ◦

   フレームのソースを表示する