適当な数値で通るだけならセキュリティ関係ないでしょ。SQLインジェクションまで調査しろ

>【独自】「誰でも何度でも予約可能」ワクチン大規模接種東京センターの予約システムに重大欠陥
dot.asahi.com/amp/dot/20210517

(リンク先スレッド)ちょくだい先生が言ってるのもその通り

>chokudai(高橋 直大)🍆さんはTwitterを使っています 「記事見たけど、これを「セキュリティの欠陥」と呼ぶべきなのかなあ。いや仕事は適当だけど、「存在しない番号は弾けるべきだ!」みたいなことを何も考えずに主張することの方がセキュリティ上危ない話なので、ちょっと気をつけたほうが良い(続) 」 / Twitter
twitter.com/chokudai/status/13

やっぱりTwitterでもSQLインジェクションがトレンドに上がってるけど、どうやらLaravel製らしいので、独自バリデーションかけない限りSQLインジェクション出来ないですね

>【悲報】防衛省のワクチン予約システム 早速ネット民のおもちゃに「SQLインジェクションできる」「同じ番号入れるとその前の予約がキャンセル」 - Togetter
togetter.com/li/1716106

@guskma SIer秘伝のオレオレSQLライブラリみたいなオチもありそう。

ログインして会話に参加
Abyss.fun

メイドインアビス非公式のファンSNSです