パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Cookieを使用したSQLインジェクション」記事へのコメント

  • ASP.NETで入力されたデータを HttpRequest.Params を使って取得すると、GET, POSTの他にCookieの値も混ざっている、ということですね。この仕様はPHPの $_REQUEST と同じ。こんなWebサイトがIDSなどに頼っていた場合はいつもの被害が発生。SQLインジェクションでやり放題、もしくはXSSでセッションや秘密情報が盗まれると。

    しかし、HttpRequest.Paramsで検索 [google.com]しても887件しか引っかからないところをみると、ほとんどの人はRequest.QueryString, Request.Formを使っているようです。
    # そもそもHttpRequest.Paramsを知らない?

    それよりも驚いたのは以下の部分。

    • by Anonymous Coward on 2008年10月06日 18時37分 (#1432829)
      うっひょー、これぞ Microsoft の真骨頂ですなあ。

      久しぶりに見た気がする。
      親コメント
      • by kanie (911) on 2008年10月06日 19時41分 (#1432863)

        Microsoftがこういう訳の分からない仕様にするときって、

        • 互換性のため
        • 競合と同じ振る舞いをして、顧客を奪うため

        のどちらかだから、今回もそうだと思うのですが...どうなんでしょうか。

        Windowsなんてそんなののカタマリですしね。クジラの内臓がはみ出たOSです。

        親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...