ringoさん
VIEW
【悲報】防衛省の大規模接種予約システム SQLインジェクションできるとの情報 まじならやばすぎる
SQLインジェクションされると何がされるの?
→ 外部から自由にデータを閲覧・操作することができます
他の人の個人情報を見たり、書き換えたりすることができます
1(二)・接種期間外も予約可能
2(遊)・予約完了後の番号キープにメモが必要
3(三)・接種対象は65歳以上だが65歳未満の生年月日でも予約可能
4(一)・2021年6月生まれでも予約可能
5(右)・なんなら2月31日でも予約可能
6(指)・システム発注先の謎の企業の顧問は竹中平蔵
7(左)・「マイページ」がキャッシュを消すと二度と見れない
8(捕)・番号の照会は桁数のみで存在しない架空の番号でも一切エラーを出さず通る
9(中)・防衛省は「善意に頼ったシンプルな予約システム」と言い訳
(投)・予約済の接種番号で予約すると先に予約した人がキャンセルされる
SQLインジェクションできるのは、さすがにまずそう。
【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」 - Togetter t.co/uO5B2EboAi @togetter_jpより
SQLインジェクションの防ぎ方、やったことないから知らないな、そういえば。
単語の存在は知ってるので、「SQLインジェクション」は大丈夫?と確認することはできる
(忘れてなければ)
v「SQLインジェクションは対策してますか?」
?「はい、してあります(してあるつもり)」
?「はい、してあります(よく分かってないけどハッタリ)」
?「はい、してあります(分かった上で対策してないハッタリ)」
v「では、対策済みということで。」
?「(ふー、一安心だぜー)」
はヤバいな
SQLインジェクションの対策してるのか、
どうテストすれば良いのかは知っておいたほうが良さそう。
使ってるRDBMSが何かでインジェクションの確認方法変わるのかな?
大規模接種の予約サイト、tor接続可能、SQLインジェクション可能という核爆弾級の話を聞いたけど、本当なら個人情報がフリーパス状態。ものすごい大量に詐欺とかに使われそう
公共のシステムにSQLインジェクションしちゃうような人は技術者倫理欠けてるので読んでほしい。IPA試験の法律周りの出典にもなってるものです。 // 技術士倫理綱領
t.co/UZvSTBdqCs
「SQLインジェクションいけた」って人もいるし、物凄いことになるんじゃないかな。予約した人全員の個人情報抜かれたりとか。
急いで作ったシステムなんだからSQLインジェクションあっても攻撃するなよ!
は
急いでいるから赤信号に突っ込むけどぶつかってくんなよ!
と同じ意味。。。だめやろ〜
さすがにSQLインジェクションは対処してる…よね?
410 番組の途中ですがアフィサイトへの転載は禁止です 2021/05/17(月)
TORで接続できます
SQLインジェクションできます
2021/6/31生まれでも予約できます
キャッシュなくなるとキャンセル不能
同じワクチン券番号入力すると、前の奴は椅子から転げ落ちる
「防衛省」が絶対口にしてはアカン言葉なのでは… →
「入力する人の善意に頼ったシンプルな予約システム」t.co/fTP0LoIloi
まあフォームのシンプルさからSQLインジェクション「できそう」って言ってるだけなんだろうな。「できる」とか言ったらただの犯罪イキリだし…
すげー、SQLインジェクションもアリなのかよ。
「ぼくがかんがえたさいきょうのよやくしすてむ」がマジで実現しちゃうとか日本はほんと何を守りたいのかね?
ワクチン予約システム、SQLインジェクションまで出来ちゃうのマジですか??
突貫だとしてもセキュリティ的にそれはマズすぎるでしょ
不正アクセス禁止法に抵触するから利用者が確認することは出来んが
セキュリティホール知ってて(知らなくても)SQLインジェクション試すやつは逮捕されればいいと思うが
ワクチン大規模予約 SQLインジェクションのセキュリティホール付きか。すげーよ。ほんっとお役所の仕事すげーよ。
フロント周りの開発は新人研修のときにしかやってないけどSQLインジェクションを実装しないのがやばいことくらいはよくわかる
SQLインジェクション、実際にやったら犯罪だから良い子はやらないようにね。
SQLインジェクションできるかは怪しい……Laravel使ってるならさすがにないと思う……
わざとSQLインジェクションできるようにしておいて、犯罪者を捕まえるためのトラップにしているのかもしれない
SQLインジェクションって
マジなら工数削減のために何故ORマッパーすら使わなかった?と逆に不思議なレベル
無しにしてもprepared statement使用しろだけだし
防衛省の募集していた2000万円人材なら一人で半月で作れるレベルだろうに。 t.co/zj8qUKm2yu
トレンドにSQLインジェクションが入ってて何の不具合かなーって思ったら、ワクチン関係だったw
中国人の予約が殺到しそうだなw
開発者は入力のエスケープとか制限、検証はちゃんとやろうねっていう話でもあり、開発費用を渋るとこういうシステムができるっていう例でもある
え、今、「SQLインジェクションできちゃう」って情報を見たんだけど、本当に…? それは完全に「セキュリティが機能してない(実装されてない)」だわ。例え仕様で提示されていなくても、エンジニアが止めなきゃダメな話。
…いや、さすがにそれは…え、ホントに本当…?
他はまだお粗末!で済むけどSQLインジェクションはあかんやろ
え!!防衛省相手にSQLインジェクションを!?
見てるとLaravelのフレームワークらしいし、SQLインジェクション起こせるようなコードじゃなきゃ無理なのでデマでしょうな