Skip to Content
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
book

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習

by IPUSIRON
December 2018
Beginner to intermediate content levelBeginner to intermediate
824 pages
21h 23m
Japanese
Shōeisha
Content preview from ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
604
第2部 ハッキングを体験する
 表示結果から、「select ??,?? from ?? where id = < 入力値 >」という SQL文が実
行されていると推測できます。該当レコードがあれば、IDには入力文字列、First
nameには 1 番目の??の値、Surnameには 2番目の ?? の値がセットされていると思
われます。
󰒅  
 SQLインジェクションの典型的なコード「1' OR 'a'='a」を入力します。すると、
次のような結果が得られ、単純なSQLインジェクションに対する脆弱性があるこ
とがわかります。条件句がTRUEになり、すべてのフィールドが表示されたわけ
です(図7-9)。
図7-9 「1'OR'a'='a」を指定した結果
󰒆  
 次は、DBシステムのバージョンを取得してみます。UNIONを使うとSELECT
文を統合できます。また、SQLで DB のバージョンを取得するには、"@@version"
あるいは "version()" を使用します。
 そこで「' union select version() #」を入力すると、"The used SELECT statements
have a different number of columns" というエラーが返ってきます。UNION を利
用していて、一部のカラムがない場合に出力されるエラーです。SELECT文に
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Start your free trial

You might also like

仕事ではじめる機械学習 第2版

仕事ではじめる機械学習 第2版

有賀 康顕, 中山 心太, 西林 孝
データサイエンス講義

データサイエンス講義

Rachel Schutt, Cathy O'Neil, 瀬戸山 雅人, 石井 弓美子, 河内 崇, 河内 真理子, 古畠 敦, 木下 哲也, 竹田 正和, 佐藤 正士, 望月 啓充

Publisher Resources

ISBN: 9784798159027