テクノロジー
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog

テクノロジーカテゴリーの変更を依頼記事元:

blog.flatt.tech

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

440usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog

440 users

blog.flatt.tech

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント51件

注目コメント
新着コメント

teppeisクエリのプレイスホルダにオブジェクト型が渡ると特殊な解釈をする仕様を突いたSQLi脆弱性。こういう変に便利機能あると危険なやつ、log4jで見た

2022/02/16リンク

その他

ockeghem一般的なプレースホルダ実装とは挙動が異なるので、「プレースホルダなら安全」とは言えない件。「JSON SQLインジェクション」と呼ばれた挙動に近い。

2022/02/16リンク

その他

rryu配列はIN句の時に使うから分かるが、オブジェクトは一体どう使う想定なのだろうか。無駄に頑張ってしまった感が強いが…

2022/02/16リンク

その他

daira4000ライブラリ見にいったらprepared statements未実装だった。そんなライブラリを使わないのが安全。

2022/02/16リンク

その他

tyage最初にCTFで出題されたの、2020年のGoogle CTFかな？　https://github.com/csivitu/CTF-Write-ups/tree/master/Google%20CTF/Web/Log-Me-In

2022/02/16リンク

その他

causeless"@wtnbgo これはそもそも prepared statement 機構以外は絶対使うなと教えるべきなのでは。なんちゃってプレースメントホルダなライブラリは存在自体が悪だし廃止すべき。" fromhttps://twitter.com/i/web/status/1493817092231286784

2022/02/16リンク

その他

n314プリペアドステートメントじゃなくて言葉通りエスケープなのね。PHPerなので15年ぐらい前に（有名ライブラリを使ったとしても）自前でエスケープするなって散々言われてた気がするが。

2022/02/16リンク

その他

internetkun誤解ないよう補足するけど2年近く更新が途絶えているhttps://npm.im/mysql でなくてhttps://npm.im/mysql2 の方が昨今は使われるようになっていて後者はこの記事で書かれているような現象は起きないはず

2022/02/17リンク

その他

xlcプレースホルダの実装がエスケープとはたまげる。

2022/02/16リンク

その他

sendまあ prepared statements 以外はそもそも使わんようにする方がいいよな

2022/02/16リンク

その他

takc923API的にprepared statementを内部で使ってるんだろうな、って思っちゃうけど違うのか... githubのレポジトリ見にいったら10年前に作られたprepared statementのfeature requestのissueがまだオープンなままだった

2022/02/26リンク

その他

deep_one基本として「エスケープ処理はするな、プリペア使え」だと聞いている。／コメントを見て。プレースホルダ使うけどプリペアではない謎実装？その構文だとプリペアなんだと思いそうだな。

2022/02/17リンク

その他

ducktoon“バッククォートで囲まれた識別子 password はカラムとみなされるので、最終的には password = password となり”

2022/02/17リンク

その他

akulogOh...

2022/02/17リンク

その他

kibitakiObject型突っ込むとかはしないし、ストアドの中で型決めて受けてればセーフ、ってことでいいのかな？

2022/02/17リンク

その他

mattnこわっ

2022/02/17リンク

その他

2022/02/17リンク

その他

utsuidaiこれは…

2022/02/16リンク

その他

Keisuke69プレースホルダ使えば安全ってわけじゃないパターンらしい。オブジェクト渡したらダメらしいがオブジェクト渡す時ってどんな時かな

2022/02/16リンク

その他

flontなぜprepared statementではなくオレオレエスケープをライブラリが実装してしまうのか / 取りうる回避策はこのライブラリの使用をやめることしかない

2022/02/16リンク

その他

rgfxそんなまた昔のPHP界隈みたいなことがマジであんのかjsって

2022/02/16リンク

その他

kazokmrnodeそれほど詳しくはないんだけど、prisma使ってる場合はどうなんだろ？

2022/02/16リンク

その他

tettekete37564最低限のバリデーションすら無しで&&判定するって普通に手抜きコードじゃ無いの？しかもユーザ名+パスワードが対象でそのif文じゃ嫌な予感しかしない

2022/02/16リンク

その他

ghostbass普通は「プレースホルダ使え」でなく「パラメータクエリー(prepared statement)使え」なのでちょとイケてない感ある

2022/02/16リンク

その他

wkwkhautboisクライアント側でのエスケープは危険、DB側でのバインド機構(PreparedStatement)を使えが基本だと思ってるけど、MySQLは歴史的な何かがあるんだろうか。

2022/02/16リンク

その他

hurafula三、四年くらい前から変わってないサービスとかめっちゃ使ってそうだなにしてもプリペアドステートメント使ってないのか

2022/02/16リンク

その他

progratiライブラリの内部ではMySQL Connector/Node.jsを使用しているのかと思ったらデータベースドライバみたいなのを自作してるんですね。

2022/02/16リンク

その他

razokuloverヒェ...

2022/02/16リンク

その他

sendまあ prepared statements 以外はそもそも使わんようにする方がいいよな

2022/02/16リンク

その他

lizyプレースホルダをライブラリ側で展開している？

2022/02/16リンク

その他

remonoilmysql2を使おう。ほぼ互換だけどPrepared statementsサポートしてて、自動でPrepared statementsになる

2022/02/16リンク

その他

natu3kanその道の業界人には知られてて、脆弱性のテストに普通に組み込んでたけど、広く知られるようになったのは近年みたいなのって、まだまだあるんだろうなあ。対策しないと融通を利かせちゃう機能のを逆手に取る訳か。

security

2022/02/16リンク

その他

xlcプレースホルダの実装がエスケープとはたまげる。

2022/02/16リンク

その他

daira4000ライブラリ見にいったらprepared statements未実装だった。そんなライブラリを使わないのが安全。

2022/02/16リンク

その他

satomi_hanten(ちゃんと読んでない)一時期流行ったクエリ/データ内のXML記述も怪しかったけど、そもそもjson記述の脆弱性みたいなもんだな。

2022/02/16リンク

その他

2022/02/16リンク

その他

rti7743余計な機能が無能な働き者になってしまったか。　無能な働き者は銃殺もといオプションで無効にするしかないね。その後テストしてと余計な手間かかるね

2022/02/16リンク

その他

rryu配列はIN句の時に使うから分かるが、オブジェクトは一体どう使う想定なのだろうか。無駄に頑張ってしまった感が強いが…

2022/02/16リンク

その他

mohnoこれだから型が緩い言語は……にはならないの？

2022/02/16リンク

その他

2022/02/16リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Node.jsのMySQLパ...」が注目されています。

気持ちをシェアしよう

ツイートする

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - GMO Flatt Security Blog

※本記事は筆者styprが英語で執筆した記事を株式会社FlattSecurity社内で日本語に翻訳したものになりま...※本記事は筆者styprが英語で執筆した記事を株式会社FlattSecurity社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つであるmysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。ほぼすべてのオンラ