今している色々な

インジェクションですが、

かなり奥が深いです…(;^_^A


まずコード作成をする前に

その起こりうる現象を

理解しておかないと、

自身のパソコンは壊れるので

ひとまず、じっくりと

その攻撃と防御の方法を

熟読してたのですが…(^_^;)


って、単純に、

サイト言語におけるHTMLの中で

入力した値が適切に変換せず、

そのまま、HTML中に出力され、

存在するタグ等の文字として、

HTMLとして解釈されるてしまう

のが原因のようで…


しかし、意図しない入力値で

色んな被害が起こるのが

つくづく感じました…(^_^;)


フィッシングサイトとかも、

手の込んだ事をしてるなと

思いまして…。


ただ最終的に、思ったのは、

目標は、コード作成が先のため

まだこの部分は時間をかけて

する必要は無いなと思った訳で

別の方法へ向かう事にしました。



OSコマンドによる

「インジェクション攻撃」を

体感してみたのですが…。

こんな感じです。


【1.初期画面】
$海底要塞ミケーネのブログ


入力値の画面で、"ある文字列"

「';ls -al;#」と入力してみます。

【2.入力前の画面】
$海底要塞ミケーネのブログ


【3.押下後の画面】
$海底要塞ミケーネのブログ


『SEND』ボタン押下後の結果で

通常、”明らかしてはいけない”

そのパソコンのファイル一覧が

表示されてしまう事となり…。


しかも、今回この入力値を、

「';ls -al;#」ではなく

「';/etc/passwd;#」にすると

そのパソコンが使用している

すべてのパスワードまでもが

取得出来る訳でありまして…。


外部サイトから入力をする場合

どんな入力方法で攻撃がされるか

ホント、分かりません…。


もちろん、

これを防ぐ方法はありますが、

今回体感してみたこの方法で、

ネットサイトはセキュリティが

特に重要であり、その必要性を

感じた時でありました…(^_^;)


ただ、APACHEはもちろん、

メールサーバーへの攻撃もしたく

あの「POSTFIX」を入れようか

ただ今、思案中であります…。


改めて、

『梨』=『Pear』…。


今回、その『梨』による

DBライブラリを覚えようと

その準備をしていたところ、

ある問題が発生…(;^_^A


というのも、通常、

データベースへアクセスを

行う時は、「DSN」という、

そのアプリに対応した接続を

行う"橋渡し"的な役割を果たす

ドライバが必要になりまして…

(例:ODBC、ADO、JDBCなど)


今までPHPで作成してた時は、

そんな事は全く気にせずに

ベタに記述してましたが、

やはり、必要なんだと、

色々サイトを参照する中で

気づいた訳であり…(^_^;)


結果、この「DSN」の設定を

PHP上で行う方法として、

・『PDO』

・『PEAR::MDB』

の2つがある事が判明し…。


ただ最近、PHP5での主流は、

『PDO』だったため…(ノ゚ο゚)ノ

そのため、考える暇もなく、

ひとまず『PEAR』は終了!?


って、なぜかというと、

「インジェクション攻撃」を

早くしたい訳でありまして…。


そのため、攻撃の対象を

「OS」に変えました(;^_^A

サイト上で入力された値で、

OSコマンドが脆弱性される

「インジェクション」の

仕組みを覚えようと思います。