ｷﾀ━━━━━... のスレッド詳細 21/05/20(木)13:09:47のログ

画像ファイル名:1621483787148.jpg 21/05/20(木)13:09:47 No.804611853

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

1 21/05/20(木)13:10:43 No.804612085

頭いい～

2 21/05/20(木)13:11:27 No.804612264

おもしれえ

3 21/05/20(木)13:12:04 No.804612416

すげえこと考えるな…

4 21/05/20(木)13:12:19 No.804612476

アナログな手口で最大の効果

5 21/05/20(木)13:13:55 No.804612849

デジタルとアナログの雑な融合がサイパーパンクコラっぽい

6 21/05/20(木)13:14:02 No.804612882

力技過ぎる…

7 21/05/20(木)13:14:28 No.804612975

コンピュータはばかだな…

8 21/05/20(木)13:16:21 No.804613388

自動でナンバー読み取ってDBに入力する仕組みもすごいしナンバープレートでSQLインジェクションやろうって発想もすごい

9 21/05/20(木)13:16:32 No.804613431

読み取りのサイズそれでいいのかという疑問はあるけどな

10 21/05/20(木)13:16:49 No.804613491

アナログなハッキングだ…

11 21/05/20(木)13:18:53 No.804613970

そんな脆弱性あるの！？

12 21/05/20(木)13:19:37 No.804614147

今も残ってる脆弱性なの？

13 21/05/20(木)13:19:39 No.804614161

めっちゃ長い文字列読ませなくても成立しちゃうんだ

14 21/05/20(木)13:20:16 No.804614316

脆弱性といってもバグではなく仕様？

15 21/05/20(木)13:20:35 No.804614400

読み込んだ文字列の桁数チェックとか挟まないんだ

16 21/05/20(木)13:21:13 No.804614538

例外処理すると汚くなりそう

17 21/05/20(木)13:21:44 No.804614657

これ実際に実行させることに成功したのかな

18 21/05/20(木)13:22:57 No.804614940

カメラが読み取った文字列を帳票に書き込むときソフトが画像の構文を読みこんで実行すると帳票側では削除のコマンドになる？

19 21/05/20(木)13:23:12 No.804614988

実際やれちゃったから話題にしてるのかなって思ってたけどどうなんだろう

20 21/05/20(木)13:23:55 No.804615140

こういうシステムは古そうだしまさか画像処理からハッキングされるなんて思わなかったろうな今もこのままならデータをどこかで収集したりもし放題だけど流石に今時こんな古典対策してないシステムないよね…？

21 21/05/20(木)13:23:59 No.804615154

>脆弱性といってもバグではなく仕様？ SQLインジェクション実行できちゃうようなクソ実装は仕様でもなんでもなく脆弱性だね

22 21/05/20(木)13:24:57 No.804615375

データ処理する時にこういうのを想定してサニタイズしとけば大丈夫

23 21/05/20(木)13:25:03 No.804615399

SFだと視覚情報にウィルス仕込むとかたまにあるけど現実で…

24 21/05/20(木)13:25:12 No.804615434

セミコロンでSELECT文が区切りになって次のDropTableが連続実行される

25 21/05/20(木)13:25:55 No.804615610

ググってたらこんなケースもあってダメだった https://gigazine.net/news/20190813-license-plate-null-get-tickets/ > 車のナンバープレートに「NULL」を登録した男性が駐車違反で膨大な額の罰金を請求されてしまう >車のナンバープレートには一般的に文字や数字の組みあわせが使われていますが、アメリカでは追加料金を支払うことで、他人とかぶらない好きな文字列をナンバープレートに使用することが可能。この仕組みを利用して、プログラミング言語などで何も示さないことを意味する「NULL」という文字列でナンバープレートを登録した男性が、大量の駐車違反による罰金を請求されてしまったそうです。

26 21/05/20(木)13:26:30 No.804615750

ひどい

27 21/05/20(木)13:26:43 No.804615798

そんなユーザー名をadminにするやつみたいな…

28 21/05/20(木)13:27:23 No.804615940

「」の間にコード仕込んだら脆弱性つけるかな…

29 21/05/20(木)13:27:27 No.804615951

想像していたよりも現実はずっと未来だな

30 21/05/20(木)13:29:30 No.804616473

>想像していたよりもショボいシステムだな

31 21/05/20(木)13:29:48 No.804616554

>セミコロンでSELECT文が区切りになって次のDropTableが連続実行される普通ならselectしかできない権限で実行されてるはずだからエラーが起きる程度で終わると思うが下手したらテーブルが飛ぶな

32 21/05/20(木)13:30:55 No.804616833

>想像していたよりも現実はずっと未来だな車もその内空飛べそうな気して来た

33 21/05/20(木)13:31:43 No.804617012

これ実際に被害及ぼしたのかね

34 21/05/20(木)13:32:08 No.804617110

悪意があるかどうかが争点になりそう

35 21/05/20(木)13:33:10 No.804617354

悪意なしにこんなの貼り付けてるのいたらちょっと頭がやばい

36 21/05/20(木)13:33:27 No.804617434

悪意なんて無いですただかっこいいと思って車のナンバー部分につけた文字列がたまたまSQLインジェクションを引き起こしたたけです

37 21/05/20(木)13:33:45 No.804617507

スピード違反とかじゃないから

38 21/05/20(木)13:34:25 No.804617669

例外処理入れろやってのも分かるけどナンバープレート読み取りで攻撃は想像出来なくても仕方ない気も……

39 21/05/20(木)13:34:32 No.804617703

>これ実際に実行させることに成功したのかな海外の掲示板ほかいくつかのサイトに転載されてたけど誰もソース提示してないし一種のジョーク画像なんじゃないかなあ認識されるのは難しいんじゃないかって言ってる人もいるっぽいし https://www.reddit.com/r/ProgrammerHumor/comments/m6g71x/speed_cameras_sql/ >私は長年、車両ANPRシステムを使用してきました。ナンバープレートエンジンは、さまざまな光の条件で実際のナンバープレートの写真をたくさん使って訓練されています。彼らが認識する唯一の文字は、ほとんど通常の文字AZと0-9です。括弧のような特殊文字は、おそらく「C」または「I」として解釈されます。ポイントやセミコロンなどは、プレートの中央にある汚れや錆びたネジのように見える可能性があるため、ほとんど無視されます。だから私は誰かがこれで何かダメージを与えると信じるのに苦労しています。また、ほとんどのナンバープレートエンジンは、実際のナンバープレートの代わりに車両の商用テキストを読まないように、最大長が10文字程度になるように構成されています。

40 21/05/20(木)13:34:45 No.804617763

QRコード決済で使うバーコードに仕込んでも出来そう

41 21/05/20(木)13:34:52 No.804617791

>ただかっこいいと思って車のナンバー部分につけた文字列がたまたまSQLインジェクションを引き起こしたたけですこれが通るならたまたまキーボードを乱打していたらハッキングできちゃいましたとか言っても許されちゃうな

42 21/05/20(木)13:34:57 No.804617817

ナンバープレート隠しちゃってるしどっちにせよ御用になるのでは

43 21/05/20(木)13:35:47 No.804618012

ちょっと試してみたくなっちゃうやらないけど

44 21/05/20(木)13:36:08 No.804618096

ナンバープレート読み込み用のシステム作ってる人 SQLインジェクションされるかもとは思わないよな・・・

45 21/05/20(木)13:36:23 No.804618151

日本のNシステムとかでもできるのかな

46 21/05/20(木)13:36:55 No.804618271

ゲームのRTAでキャラの名前に実行させたいコード入れてなんかバグ使ってそれを実行させるとエンディングが表示されますみたいなのを思い出した

47 21/05/20(木)13:37:57 No.804618498

IQたけぇー

48 21/05/20(木)13:38:25 No.804618587

本来の意味でもダメだった

49 21/05/20(木)13:38:57 No.804618708

>「」の間にコード仕込んだら脆弱性つけるかな… https://twitter.com/sasaboushi/status/1394484339593793540?s=21

50 21/05/20(木)13:39:07 No.804618764

ZU 0666がナンバーじゃないの？

51 21/05/20(木)13:40:45 No.804619182

https://hackaday.com/2014/04/04/sql-injection-fools-speed-traps-and-clears-your-record/ 元の記事はこれだろうかとりあえずやってみようぜ的な感じだが

52 21/05/20(木)13:41:49 No.804619435

>「」どうやって発音してるんですかその記号

53 21/05/20(木)13:44:48 No.804620113

公的なシステムは大体その辺の対策はしてるだろ！？…してるよね…？

54 21/05/20(木)13:45:40 No.804620314

>公的なシステムは大体その辺の対策はしてるだろ！？…してるよね…？最近味噌つけたばっかじゃねーか

55 21/05/20(木)13:46:39 No.804620575

>公的なシステムは大体その辺の対策はしてるだろ！？…してるよね…？ワクチン予約サイトは…もうSQLインジェクションとかそんなレベルですらないからセーフか

56 21/05/20(木)13:47:36 No.804620773

>最近味噌つけたばっかじゃねーか予約サイトのはインジェクション攻撃じゃねーよ！

57 21/05/20(木)13:50:56 No.804621522

OCRじゃ読めねえんじゃねえかな

58 21/05/20(木)13:52:19 No.804621818

自動運転とかの画像認識攻撃とかこういうのはなんだかんだ試してみるのは大事だよね…

59 21/05/20(木)13:53:21 No.804622039

https://xkcd.com/327/

60 21/05/20(木)13:53:23 No.804622048

>予約サイトのはインジェクション攻撃じゃねーよ！そういう意味じゃなくて公的なシステムでもザルな例はいくらでもあるよってことじゃないの

61 21/05/20(木)13:55:39 No.804622558

英語版ミル貝の記事読んでたら選挙用紙に手書きしてたケースなんてのまであってダメだった https://en.wikipedia.org/wiki/SQL_injection >2010年のスウェーデン総選挙中の9月19日、有権者は書き込み投票の一部としてSQLコマンドを手書きでコードインジェクションを試みました。[43]

62 21/05/20(木)13:57:27 No.804622972

手書きインジェクションは初めて聞いたな・・・

63 21/05/20(木)13:58:24 No.804623183

64 21/05/20(木)13:59:25 No.804623418

65 21/05/20(木)13:59:48 No.804623511

なにがなんでも攻撃しようという鋼の意思

66 21/05/20(木)14:02:07 No.804624086

まさか自動運転ともなればSQLインジェクション対策してないシステムが存在するとも思えないが… というかある程度のライブラリ使ってればこのくらいの対策は中で自動でやってくれるよね

67 21/05/20(木)14:02:44 No.804624236

何の恨みがあるんだ…

68 21/05/20(木)14:04:38 No.804624688

どっからテーブルの名前入手したんだ

69 21/05/20(木)14:04:47 No.804624718

70 21/05/20(木)14:10:11 No.804625906

NULLは想定してないほうが悪い

71 21/05/20(木)14:10:39 No.804626018

>SQLインジェクションのコード書いてたらまとめサイトにインジェクション！自動収集型のログサイトがそこら辺対策出来てなかった所為でとしあきが冗談で書いたスクリプトが動いてそれ以下のデータ全部閲覧できなくなったみたいな話聞いた時は吹き出した

72 21/05/20(木)14:10:51 No.804626068

大手でも案外性善説なシステムになってたりするからやってみる価値はありそう

73 21/05/20(木)14:11:14 No.804626160

>どっからテーブルの名前入手したんだ DROP DATABASEはデータベース内のテーブル全削除だよ

74 21/05/20(木)14:12:06 No.804626345

>大手でも案外性善説なシステムになってたりするから >やってみる価値はありそうやるのか！

75 21/05/20(木)14:13:39 No.804626746

>自動収集型のログサイトがそこら辺対策出来てなかった所為でとしあきが冗談で書いたスクリプトが動いてそれ以下のデータ全部閲覧できなくなったみたいな話聞いた時は吹き出した古の壺みたいなことしてんな…あれは誤検出目的だったが

76 21/05/20(木)14:14:36 No.804626966

こういう脆弱性とかってチート転生ものと相性が良さそう nullくんがトラックに轢かれて転生した途端に異世界が壊れるとか

77 21/05/20(木)14:15:49 No.804627250

>以下のデータ全部閲覧できなくなったみたいな話聞いた時は吹き出したまとめ禁止って書くよりよっぽど効果ありそうだ…

78 21/05/20(木)14:17:04 No.804627562

須藤さんが困ったみたいな話は聞いたことがある

79 21/05/20(木)14:17:13 No.804627610

ぬるぽ

80 21/05/20(木)14:18:23 No.804627898

ランプの魔神はセキュリティだったんだな

81 21/05/20(木)14:19:34 No.804628180

投げる前に文字列のエスケープとかバインドとかしないのかな… リアルタイム性求められててそんな事してる余裕もないシステムなのか？

82 21/05/20(木)14:20:24 No.804628376

プログラミングの知識とかないけど要するにプログラム構文をダイレクトに文章として読ませて作動させてセキュリティを無効化させるってこと？

83 21/05/20(木)14:20:47 No.804628476

>須藤さんが困ったみたいな話は聞いたことがある急に俺の名字出すのやめてくれない？

84 21/05/20(木)14:21:19 No.804628612

>要するにプログラム構文をダイレクトに文章として読ませて作動させてセキュリティを無効化させるってこと？セキュリティ無効というか全部データ消せって書いてある

85 21/05/20(木)14:21:33 No.804628685

>須藤さんが困ったみたいな話は聞いたことがある何かと思ったらsudoか…

86 21/05/20(木)14:21:46 No.804628739

昔壺で起きたまとめサイトが壺に貼られてた画像そのまま転載したらそれが殺害予告になるGIFアニメ画像で…ってのもある種のSQLインジェクションかな？

87 21/05/20(木)14:23:44 No.804629198

古からあるから何処でも対策取られてると思うけどなんで最近こんな急に話題にと思ったらチクチンのあれか

88 21/05/20(木)14:24:04 No.804629267

理論的にはできるがまさかやる奴がいるとは思わなかったパターン

89 21/05/20(木)14:24:38 No.804629392

>セキュリティ無効というか全部データ消せって書いてあるなんでそんなひどいことするの…

90 21/05/20(木)14:25:25 No.804629577

>日本のNシステムとかでもできるのかなやれそう…

91 21/05/20(木)14:25:54 No.804629692

>理論的にはできるがまさかやる奴がいるとは思わなかったパターンクンリニンのレス削除事件みたいなもんやな好奇心には勝てなかったよ…

92 21/05/20(木)14:26:04 No.804629734

>>想像していたよりもショボいシステムだな大化1年生まれがワクチン希望できる日本のシステムもなんだなんだ割と世界ではありふれてるんだろうなって

93 21/05/20(木)14:26:23 No.804629799

なんだGIGAネタか…じゃあ嘘だろう

94 21/05/20(木)14:30:12 No.804630687

まあ確かにこれ通っちゃったらナンバーと間違えて会社のロゴとか読み込んじゃったりしそうだもんな

虹裏img歴史資料館

21/05/20(木)13:09:47 ｷﾀ━━━━━... のスレッド詳細