OZMallもSQLインジェクションに脆弱だった!?

Security 5月 31, 2005
(Last Updated On: )

価格.comもですが、OZMall(オズモール)もSQLインジェクションに脆弱だったようです。

私は両方のサイトの登録ユーザでは無いため直接の影響はありませんが、もし仮にユーザだったとしたらSQLインジェクションに対して脆弱な場合、UNIONクエリが可能な脆弱性だったかが気になります。

少しWebセキュリティに詳しい方ならご存知とは思いますが、UNIONクエリが可能な場合、SQLインジェクションを直接行えるテーブル以外のテーブルの情報を自由にアクセスできます。システムカタログへのアクセスも可能な場合は最悪の事態です。

価格.com、OZMallともに登録ユーザには案内しているのかも知れませんが、どの程度の問題だったか正確の公表しないとならないと思います。

既に価格.comは詳細を公表しないと発表していますが、盗まれたメールアドレスを利用したフィッシング詐欺などがあった場合はどうするのでしょうか? 価格.comはメールを通じてユーザに連絡するつもりなのでしょうか? メールは送信元が判りづらいため、この様なケースの場合、メールを利用した連絡はフィッシング・ファーミングを誘発する原因になりかねません。

もし私が両サイトのユーザであれば、パスワードの変更と共用したいたパスワードを全て変更します。
# Webサイトのパスワードは覚えない主義ですから、私の場合は他のサイト
# のパスワードを変更する必要はないですが。

投稿者: yohgaki