「Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog」

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なるこ…

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なるこ…

blog.flatt.tech

Webページ

コンテンツ文字数:0 文字

見出し数(H2/H3タグ):0 個

閲覧数:71 件

2022-02-16 14:30:06

オリジナルページを開く

B!

タグ一覧
Node
js
MySQL
パッケージ
おける
エスケープ
処理
だけ
ない
隠れ
SQL
インジェクション
Flatt
Security
Blog
記事
筆者
stypr
英語
執筆
株式会社
社内
日本語
翻訳
もの
なり
ます
TL
DR
エコ
システム
最も
人気
ある
一つ
mysqljs
mysql
https
github
com
おい
クエリ
関数
予期
動作
引き起こす
可能性
こと
判明
まし
通常
プレース
ホルダ
防ぐ
知ら
しかし
種類
よっ
方法
異なる
です
はじめ
Exploit
デモンストレーション
根本
原因
修正
結論
Thanks
※読み込みに時間がかかることがあります