![CodeZine [コードジン]](http://codezine.jp/static/common/images/logo.gif){kind=logo}
iioka@ハッキングクラッキング、ダメ、絶対。
です。
先日、大きめの書店に行ってきました。
そのお店にはタッチパネル式の端末で書籍検索ができるものがあったのですが、使おうと思って見てみたらエラー画面が表示されており、エラーメッセージが剥きだしのままトレースされてました。
トレース文を見てみると、どうやら書籍検索の入力欄に悪意(いたずら心?)のあるコードを入力されてしまったようです。いわゆるSQLインジェクションですね。
「やるなあ」「危ないなあ」と思う一方、「セキュリティホールを突かれてしまうのは、ちょっと格好悪いな」と思ってしまいました。仮にセキュリティホールを突かれてしまうにしても、専用のエラー画面を用意しておき、エラーメッセージをだらだらと表示しない工夫があると良かったと思います。
ただ、普通はそんな使い方をする人はいないはずなので、想定外と言えば想定外なのですが、「いやー、でもそっか、やろうと思えばやれるんだな」と妙に感心してしまいました。そして、「あれはその気になれば集中管理している書籍データベースを上書きできるのかな」とか、「さすがにそれは権限管理していて無理だろう」とか、「でもSQLインジェクションが想定されていないぐらいだから可能な気も…」と、変な方向に考えがいってしまい、肝心の本を買うのを忘れて帰ってきてしまいました。
いたずらはほどほどに。
(2008/03/12配信 CZNews Vol.107 編集部だより)
です。
先日、大きめの書店に行ってきました。
そのお店にはタッチパネル式の端末で書籍検索ができるものがあったのですが、使おうと思って見てみたらエラー画面が表示されており、エラーメッセージが剥きだしのままトレースされてました。
トレース文を見てみると、どうやら書籍検索の入力欄に悪意(いたずら心?)のあるコードを入力されてしまったようです。いわゆるSQLインジェクションですね。
「やるなあ」「危ないなあ」と思う一方、「セキュリティホールを突かれてしまうのは、ちょっと格好悪いな」と思ってしまいました。仮にセキュリティホールを突かれてしまうにしても、専用のエラー画面を用意しておき、エラーメッセージをだらだらと表示しない工夫があると良かったと思います。
ただ、普通はそんな使い方をする人はいないはずなので、想定外と言えば想定外なのですが、「いやー、でもそっか、やろうと思えばやれるんだな」と妙に感心してしまいました。そして、「あれはその気になれば集中管理している書籍データベースを上書きできるのかな」とか、「さすがにそれは権限管理していて無理だろう」とか、「でもSQLインジェクションが想定されていないぐらいだから可能な気も…」と、変な方向に考えがいってしまい、肝心の本を買うのを忘れて帰ってきてしまいました。
いたずらはほどほどに。
(2008/03/12配信 CZNews Vol.107 編集部だより)
タグ:
各種RSSを配信中
コメント (2)
この場合(本文ネタ)は、ハッキングではなくて、クラッキングです。
同じようでいて違うものなので、分けて使っていただけるとありがたいです。
#日本じゃ全部ハッキングにされちゃってるのですがね...
投稿者: とっちゃん | 2008年3月12日 15:50
日時: 2008年3月12日 15:50
そうですね、クラッキングの方が適切ですね。
直しておきます!
投稿者: iioka | 2008年3月28日 10:25
日時: 2008年3月28日 10:25