ログイン

【悲報】防衛省の大規模接種予約システム SQLインジェクションできるとの情報 Torで接続も可能まじならやばすぎる

【悲報】防衛省の大規模接種予約システム SQLインジェクションできるとの情報まじならやばすぎる

更新日:2021年05月18日

ringoさん

VIEW

【悲報】防衛省の大規模接種予約システム SQLインジェクションできるとの情報まじならやばすぎる

SQLインジェクションされると何がされるの？

→　外部から自由にデータを閲覧・操作することができます
他の人の個人情報を見たり、書き換えたりすることができます

１（二）・接種期間外も予約可能
２（遊）・予約完了後の番号キープにメモが必要
３（三）・接種対象は65歳以上だが65歳未満の生年月日でも予約可能
４（一）・2021年6月生まれでも予約可能
５（右）・なんなら2月31日でも予約可能
６（指）・システム発注先の謎の企業の顧問は竹中平蔵
７（左）・「マイページ」がキャッシュを消すと二度と見れない
８（捕）・番号の照会は桁数のみで存在しない架空の番号でも一切エラーを出さず通る
９（中）・防衛省は「善意に頼ったシンプルな予約システム」と言い訳

（投）・予約済の接種番号で予約すると先に予約した人がキャンセルされる

vukingvineP_bot@vuking

SQLインジェクションできるのは、さすがにまずそう。

【悲報】防衛省のワクチン予約システム早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」 - Togetter t.co/uO5B2EboAi @togetter_jpより

2021.05.18 07:30:26

vukingvineP_bot@vuking

SQLインジェクションの防ぎ方、やったことないから知らないな、そういえば。

単語の存在は知ってるので、「SQLインジェクション」は大丈夫？と確認することはできる
（忘れてなければ）

2021.05.18 07:30:27

vukingvineP_bot@vuking

v「SQLインジェクションは対策してますか？」
？「はい、してあります（してあるつもり）」
？「はい、してあります（よく分かってないけどハッタリ）」
？「はい、してあります（分かった上で対策してないハッタリ）」

v「では、対策済みということで。」
？「（ふー、一安心だぜー）」

はヤバいな

2021.05.18 09:03:08

vukingvineP_bot@vuking

SQLインジェクションの対策してるのか、
どうテストすれば良いのかは知っておいたほうが良さそう。

使ってるRDBMSが何かでインジェクションの確認方法変わるのかな？

2021.05.18 09:03:09

平河エリ Eri Hirakawa | 読む国会@yomu_kokkai

大規模接種の予約サイト、tor接続可能、SQLインジェクション可能という核爆弾級の話を聞いたけど、本当なら個人情報がフリーパス状態。ものすごい大量に詐欺とかに使われそう

2021.05.18 08:13:34

Shoko@_okohs

公共のシステムにSQLインジェクションしちゃうような人は技術者倫理欠けてるので読んでほしい。IPA試験の法律周りの出典にもなってるものです。 // 技術士倫理綱領
t.co/UZvSTBdqCs

2021.05.18 10:25:35

シン・深海魚クンさん@T.N.G@53Channel

「SQLインジェクションいけた」って人もいるし、物凄いことになるんじゃないかな。予約した人全員の個人情報抜かれたりとか。

2021.05.17 20:30:19

シン・深海魚クンさん@T.N.G@53Channel

2chにコロナワクチン大規模接種予約システムの凄さがシンプルにまとめられていた。 https://t.co/5nNllppm6y

2021.05.17 21:07:14

Christina@stlmix

急いで作ったシステムなんだからSQLインジェクションあっても攻撃するなよ！

は

急いでいるから赤信号に突っ込むけどぶつかってくんなよ！

と同じ意味。。。だめやろ〜

2021.05.18 10:34:05

ちや@chiya777

さすがにSQLインジェクションは対処してる…よね？

2021.05.18 10:34:03

団地棲み再無職人生詰み太郎＠(ふ´﹏`ち)ﾉ@Fuchi_JPN

410 番組の途中ですがアフィサイトへの転載は禁止です 2021/05/17(月)

TORで接続できます
SQLインジェクションできます
2021/6/31生まれでも予約できます
キャッシュなくなるとキャンセル不能
同じワクチン券番号入力すると、前の奴は椅子から転げ落ちる

2021.05.17 22:28:39

wryou_innocence@wryouinnocence

何割中抜きしたらこのクオリティになるの https://t.co/nrUMPpvw8Y

2021.05.17 20:25:13

dragoner@dragoner_JP

「防衛省」が絶対口にしてはアカン言葉なのでは…　→

「入力する人の善意に頼ったシンプルな予約システム」t.co/fTP0LoIloi

2021.05.17 21:00:56

ホタテ@draupnir2222

まあフォームのシンプルさからSQLインジェクション「できそう」って言ってるだけなんだろうな。「できる」とか言ったらただの犯罪イキリだし…

2021.05.18 10:34:02

st@soc127_0_0_1

トレンドにSQLインジェクションが載るとはwww https://t.co/UrbHcu6NDm

2021.05.18 10:33:57

小里の憂人@6pcSLRgO1uyypLY

すげー、SQLインジェクションもアリなのかよ。
「ぼくがかんがえたさいきょうのよやくしすてむ」がマジで実現しちゃうとか日本はほんと何を守りたいのかね？

2021.05.18 10:33:54

つばさ@🐣@be_tsuba

ワクチン予約システム、SQLインジェクションまで出来ちゃうのマジですか？？
突貫だとしてもセキュリティ的にそれはマズすぎるでしょ
不正アクセス禁止法に抵触するから利用者が確認することは出来んが

2021.05.18 10:33:53

ズッキー@mayokanikama

セキュリティホール知ってて（知らなくても）SQLインジェクション試すやつは逮捕されればいいと思うが

2021.05.18 10:33:46

肉団子@gobou_tengoku

ワクチン大規模予約　SQLインジェクションのセキュリティホール付きか。すげーよ。ほんっとお役所の仕事すげーよ。

2021.05.18 10:33:24

フロント周りの開発は新人研修のときにしかやってないけどSQLインジェクションを実装しないのがやばいことくらいはよくわかる

2021.05.18 10:33:23

まこにゃんの残骸@mkt8514

SQLインジェクション、実際にやったら犯罪だから良い子はやらないようにね。

2021.05.18 10:33:21

いぐぞー！ ✈️ 旅するプログラマー@igz0

SQLインジェクションできるかは怪しい……Laravel使ってるならさすがにないと思う……

2021.05.18 10:33:17

みくも@Sciro00

わざとSQLインジェクションできるようにしておいて、犯罪者を捕まえるためのトラップにしているのかもしれない

2021.05.18 10:33:09

elseorand@elseorand

SQLインジェクションって
マジなら工数削減のために何故ORマッパーすら使わなかった?と逆に不思議なレベル

無しにしてもprepared statement使用しろだけだし

防衛省の募集していた2000万円人材なら一人で半月で作れるレベルだろうに。 t.co/zj8qUKm2yu

2021.05.18 10:32:56

Mob@poporoonly

トレンドにSQLインジェクションが入ってて何の不具合かなーって思ったら、ワクチン関係だったw
中国人の予約が殺到しそうだなw

開発者は入力のエスケープとか制限、検証はちゃんとやろうねっていう話でもあり、開発費用を渋るとこういうシステムができるっていう例でもある

2021.05.18 10:34:28

ななし@nanashi74

え、今、「SQLインジェクションできちゃう」って情報を見たんだけど、本当に…？それは完全に「セキュリティが機能してない（実装されてない）」だわ。例え仕様で提示されていなくても、エンジニアが止めなきゃダメな話。
…いや、さすがにそれは…え、ホントに本当…？

2021.05.18 10:34:27

はちゎれ🐸77.9kg@miIkcocoa

他はまだお粗末！で済むけどSQLインジェクションはあかんやろ

2021.05.18 10:34:25

なうむら@now_mura

え！！防衛省相手にSQLインジェクションを！？

2021.05.18 10:34:20

てっけむ😈🍙@chikeeem

見てるとLaravelのフレームワークらしいし、SQLインジェクション起こせるようなコードじゃなきゃ無理なのでデマでしょうな

2021.05.18 10:34:17

1