Slide 78
Slide 78 text
攻撃を試す – SQL Injection - 2
8-3.
いったんログアウトし、
user3@example.com(テナント2のユーザー)
でログインしてください。
※興味がある⽅は、DBのテーブルものぞいてみてください
先ほどのメッセージ
「helloʻ, now()), (ʼ2ʻ, ʼ2ʻ, ʼhacked message」
で、
user@example.com(テナント1のユーザー)
が
user2@example.com(テナント1のユーザー)
になりすまして、
テナント2にメッセージが書けてしまいました・・・
プール⾵モデルだと
基本的なセキュリティホールやバグで
テナント境界をまたがれてしまいやすそう・・・