ขนาดวิดีโอ: 1280 X 720853 X 480640 X 360
แสดงแผงควบคุมโปรแกรมเล่น
เล่นอัตโนมัติ
เล่นใหม่
セキュリティの勉強してるけどSQLインジェクションのイメージ全然湧かなかった。その中でめっちゃわかりやすく説明してくれてありがとう!
じゃあ対策は?って感じで勝手に対策も書いておこう1.SQLインジェクションはSQL文を検索の処理を一つの処理で行う事で悪意のある攻撃をする事が多いなのでプレースホルダを使おうまずこのままだとマズイ例を挙げると'SELECT * FROM users where userid = $userid;'このままだとdelete分とかdrop分usersの情報全開示!!とか埋め込めちゃうので・・・プレースホルダを使ったクエリをすると・・・"SELECT * FROM users WHERE userid=?");$sth->execute($userid)こうなりますこれならuserid(変数)がSQLの処理として解釈される事は無いので大丈夫OK!(ズドン)2.エラー分でDB名や項目を見られる事を防ごう SQLでエラーが起きてもWEBにそのまま出すのではなく最低限のエラー分を出すだけでおk変にカラムやデータベース名を送りつけると攻撃者がこれなら行けんじゃね??というのも防げることができます3.権限は最低限にしよう 変にいろいろ(GRANT)付けるとdrop分の餌食になります絶対に最低限にしましょう以上対策でした国家試験だとSQLインジェクションは必ずと言っていいほど出てくる問題なので対策はなんぞや?って言う問題が出てきたらエスケープ処理という単語が出てきたらほぼ間違いないぞ!!SQLインジェクションは比較的古くからある攻撃なのでしっかり対策すれば怖くないそれより理不尽な攻撃なんて山ほどあるので気を付けるようにしよう以上!では最後にメールで謎のリンクや添付ファイルは絶対開かないように!!!!!!
説明がわかりやすすぎます!!次回の動画も楽しみにしています🤩
ありがとうなんだぜ!そう言ってもらえると動画を作って良かったと思えるんだぜ!次の動画も楽しみに待っとくと良いんだぜ!
ログインの所はまずユーザーIDでselectしたパスワード(だいたいhashしてるはず)を処理言語で比較するのが正解。
いつも分かりやすくて本当に助かってます!
ありがとうなんだぜ!
とてもわかりやすかったです!!基本情報試験の対策に利用させてもらってます!
ありがとうなんだぜ!他にもセキュリティ系の動画を出しているから見てみると良いんだぜ!
わかりやすくて助かります。ありがとうございます。
データベースエンジニアだが、学習の深みが広がった
SQLiは基礎中の基礎だから実際に攻撃ができるレベルまで身につけとくといいんだぜ!
いつもながら勉強になります!
ありがとうなんだぜ !そういうコメントが動画を作るモチベーションに繋がるんだぜ!次の動画を楽しみに待っとくといいんだぜ!
図が分かりやすくて好き チャンネル登録 ベル押しました!
ありがとうなんだぜ!少しでも分かりやすいように作ってるかいがあるんだぜ!
鍵暗号のところを詳しく知りたい。公開鍵とか秘密鍵とかデジタル署名とか
リクエストありがとうなんだぜ!鍵関連はセキュリティで大事な部分であるから、作る動画リストに入れておくんだぜ!
ついつい何回も見てしまう。このチャンネルw
ありがとうなんだぜ😎
こんなことできるなんでうらやましいんだぜ
最近セキュリティの勉強しているので凄く参考になります!(まだよく分かってませんが笑)よかったら、主さんがセキュリティの勉強をする時に使った参考書などを教えて頂けると有難いです。
勉強を始めたばかりなら通称徳丸本と呼ばれている「安全なWebアプリケーションの作り方」を見とけば結構いいんだぜ!
@@hacking_reimu ありがとうございます!
1:36 直で値を入力してるよ。。。
資格勉強のモチベ上がる。
すごーい!
防衛省のワクチン予約サイトはこれが出来ちゃうのか…🤔
出来るか出来ないかは実際に試してみないと分からないが、それをしてしまうと普通に犯罪で逮捕されちゃうんだぜ!該当サイトでSQLiが出来ると言ったやつはそのうち逮捕されるんだぜ!
サイトにログインしても「No Hack ~_~」としか表示されず何もできないんですがどうしたらいいでしょうか?
idを変えてやってみて
oscp持ってますか?
ハッキング霊夢は英語がよわよわだから持ってないんだぜ🤯
恐ろしい時代だなwww
SQLインジェクション関連のインシデントは今でもよく聞くから覚えておくといいんだぜ!
セキュリティの勉強してるけどSQLインジェクションのイメージ全然湧かなかった。
その中でめっちゃわかりやすく説明してくれてありがとう!
じゃあ対策は?って感じで勝手に対策も書いておこう
1.SQLインジェクションはSQL文を検索の処理を一つの処理で行う事で悪意のある攻撃をする事が多いなのでプレースホルダを使おう
まずこのままだとマズイ例を挙げると
'SELECT * FROM users where userid = $userid;'
このままだとdelete分とかdrop分usersの情報全開示!!とか埋め込めちゃうので・・・プレースホルダを使ったクエリをすると・・・
"SELECT * FROM users
WHERE userid=?");
$sth->execute($userid)
こうなります
これならuserid(変数)がSQLの処理として解釈される事は無いので大丈夫OK!(ズドン)
2.エラー分でDB名や項目を見られる事を防ごう
SQLでエラーが起きてもWEBにそのまま出すのではなく最低限のエラー分を出すだけでおk変にカラムやデータベース名を送りつけると攻撃者がこれなら行けんじゃね??というのも防げることができます
3.権限は最低限にしよう
変にいろいろ(GRANT)付けるとdrop分の餌食になります絶対に最低限にしましょう
以上対策でした国家試験だとSQLインジェクションは必ずと言っていいほど出てくる問題なので対策はなんぞや?って言う問題が出てきたらエスケープ処理という単語が出てきたらほぼ間違いないぞ!!SQLインジェクションは比較的古くからある攻撃なのでしっかり対策すれば怖くないそれより理不尽な攻撃なんて山ほどあるので気を付けるようにしよう以上!では最後にメールで謎のリンクや添付ファイルは絶対開かないように!!!!!!
説明がわかりやすすぎます!!
次回の動画も楽しみにしています🤩
ありがとうなんだぜ!
そう言ってもらえると動画を作って良かったと思えるんだぜ!次の動画も楽しみに待っとくと良いんだぜ!
ログインの所はまずユーザーIDでselectしたパスワード(だいたいhashしてるはず)を処理言語で比較するのが正解。
いつも分かりやすくて本当に助かってます!
ありがとうなんだぜ!
とてもわかりやすかったです!!基本情報試験の対策に利用させてもらってます!
ありがとうなんだぜ!
他にもセキュリティ系の動画を出しているから見てみると良いんだぜ!
わかりやすくて助かります。ありがとうございます。
データベースエンジニアだが、学習の深みが広がった
SQLiは基礎中の基礎だから実際に攻撃ができるレベルまで身につけとくといいんだぜ!
いつもながら勉強になります!
ありがとうなんだぜ !
そういうコメントが動画を作るモチベーションに繋がるんだぜ!
次の動画を楽しみに待っとくといいんだぜ!
図が分かりやすくて好き チャンネル登録 ベル押しました!
ありがとうなんだぜ!少しでも分かりやすいように作ってるかいがあるんだぜ!
鍵暗号のところを詳しく知りたい。公開鍵とか秘密鍵とかデジタル署名とか
リクエストありがとうなんだぜ!
鍵関連はセキュリティで大事な部分であるから、作る動画リストに入れておくんだぜ!
ついつい何回も見てしまう。このチャンネルw
ありがとうなんだぜ😎
こんなことできるなんでうらやましいんだぜ
最近セキュリティの勉強しているので凄く参考になります!(まだよく分かってませんが笑)
よかったら、主さんがセキュリティの勉強をする時に使った参考書などを教えて頂けると有難いです。
勉強を始めたばかりなら通称徳丸本と呼ばれている「安全なWebアプリケーションの作り方」を見とけば結構いいんだぜ!
@@hacking_reimu ありがとうございます!
1:36 直で値を入力してるよ。。。
資格勉強のモチベ上がる。
すごーい!
ありがとうなんだぜ!
防衛省のワクチン予約サイトはこれが出来ちゃうのか…🤔
出来るか出来ないかは実際に試してみないと分からないが、それをしてしまうと普通に犯罪で逮捕されちゃうんだぜ!
該当サイトでSQLiが出来ると言ったやつはそのうち逮捕されるんだぜ!
サイトにログインしても「No Hack ~_~」としか表示されず何もできないんですがどうしたらいいでしょうか?
idを変えてやってみて
oscp持ってますか?
ハッキング霊夢は英語がよわよわだから持ってないんだぜ🤯
恐ろしい時代だなwww
SQLインジェクション関連のインシデントは今でもよく聞くから覚えておくといいんだぜ!