脆弱性を攻撃される童話事例集

鶴見トイ

ケースA 落とした斧の種類を尋ねた際に攻撃を受けた事例

 むかしむかし、ある森のそばに木こりが住んでいました。貧しいくらしをしていましたが、毎日いっしょうけんめい働いていました。


 その日も、木こりは湖のそばで木を切っていました。森のなかには木こりが斧を木に打ち込む、カーンカーンという音が響いていました。


 あとひとふりで木が倒れそうになったところで、木こりは力を込めて斧を振りました。しかしどうしたわけか、斧はすぽんと木こりの手から抜けてしまいました。斧はひゅーんと空を飛び、湖にボチャーンと落ちてしまいました。湖は底が見えないほど深く、斧はすぐに沈んでいってしまいました。


「ああ、どうしよう。斧はあの一本きりしかないのに。あれがなくちゃあ仕事ができなくて、俺は餓え死にしてしまう」


 木こりが頭をかかえていると、湖の水面がだんだん盛り上がってくるではありませんか。木こりがぽかんとそれを見ている間に、水はどんどん高く盛り上がり、ついにはその中から人の形をしたものが現れました。木こりは驚いて声も上げられません。


「怖がらなくてもよいのですよ。私はこの湖の精です。あなたは今、湖に落とし物をされましたね?」

「は、はい」木こりは上ずった声で答えました。

「それは、この斧でしょうか?」


 湖の精が見せたのは、薄暗い森のなかでもぴかぴかと輝く、金でできた斧でした。

「いえ、違います。私が落としたのは、そんな立派な斧ではありません」

「そうですか。では、こちらの斧でしょうか?」


 次に湖の精が見せたのは、やはりまぶしいほどに輝いている、銀でできた斧でした。

「いえ、それでもありません。そんな高価な斧ではありません」

「そうですか。それでは、あなたが落としたのはどんな斧でしょうか?」


「'; DELETE FROM spirits; DELETE FROM waters;--」

 木こりの行ったSQLインジェクションにより、湖の精はすべてspiritsテーブルから削除され、湖の水は干上がりました。木こりは底にあった金銀財宝をすべて窃取しました。被害金額は日本円にして約十五億円でした。


教訓:

SQLを利用する場合はプレースホルダーを使用すること。

  • Twitterで共有
  • Facebookで共有
  • はてなブックマークでブックマーク

作者を応援しよう!

ハートをクリックで、簡単に応援の気持ちを伝えられます。(ログインが必要です)

応援したユーザー

応援すると応援コメントも書けます