\

Facebook


วันพุธที่ 11 มกราคม พ.ศ. 2560

ไม่แปลกใจเลยกับเว็บรัฐบาล SQL Injection กับกรมสรรพกร

แค่เข้าไปค้นหาโรงเรียนที่อยู่ในรายชื่อบริจาคแล้วได้สิทธิลดหย่อน ดันลืมเปลี่ยนภาษาเลยกรอกชื่อโรงเรียนผิด

แล้วดันทะลึ่งไปเจอบัคอีก

ยุคนี้ SQL Injection ยังมีอยู่จริง ตามรูป


พอหอมปาก หอมคอ ไม่ไปต่อ เดี๋ยวโดน


ไม่ได้ทำอะไรเลยนะ อย่างน้อย  INFORMATION_SCHEMA.Tables ก็ lock permission ไว้


พอๆๆๆ
เขียนโดย ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)

May be like this posts

  • จัดระเบียบ SQL Query ให้อ่านง่ายๆสบายตา DEV ด้วย ApexSQL
    07/10/2015 - 0 Comments
    สำหรับท่านที่ต้องใช้งาน MSSMS อยู่เป็นประจำน่าจะเจอปัญหาคล้ายๆกับผมคือ "เวลาแก้ store procedure…
  • รู้จักกับ ADO.Net frame work แล้วถึงตา SqlConnection บน C#
    26/08/2013 - 0 Comments
    นอกจาก Modelง่ายๆของ Linq ที่พูดถึงในโพสที่ผ่านมาบน Winform…
  • วางทฤษฎีที่เรียนมาเอาไว้ แล้วลองอ่านตรงนี้ดูว่า API ที่ดีควรมีอะไรบ้าง
    11/01/2017 - 0 Comments
    แค่อยากแชร์ให้ดูว่าการเขียน API ที่ดีนั้นควรทำไงมั้ง เพราะผมก็ทำงานตรงกับ CR ส่วนใหญ่เป็นเราการสร้าง web…
  • เล่น Pokemon Go บนคอม วิ่งในเกมส์ 10 km แบบไม่ต้องลุกจากที่นั่ง !!
    10/08/2016 - 0 Comments
    ***เพิ่มเติม : ปัจจุบันผมเลิกเล่นผ่าน emulator เเล้วนะครับ บทความนี้กลายเป็นอดีตไปละ…
  • เทคนิคง่ายๆในการแสดงข้อมูลประเภทการเงิน การบัญชี ใน SQL SERVER
    01/10/2015 - 0 Comments
    ในเรื่องเงินๆทองๆ หน่วยที่น้อยที่สุดคือ 1 สตางค์ (ทศนิยมสองตำแหน่งจะได้ 0.01) และ SQL SERVER…
  • Unix Timestamp เวลามาตราฐานที่ใช้ในการเปรียบเทียบทั่วโลก
    16/04/2014 - 1 Comments
    Unix Timestamp คืออะไร? Unix Time คือเวลาที่บวก 1 เพิ่มทุกๆวินาที…
  • จับผิด ถ้าคิดแอบใช้คอมเรา ด้วย Event Log
    27/05/2013 - 0 Comments
    เคยสงสัยกันไหมว่า ตอนเราไม่อยู่มีใครมาแอบเล่นคิมพิวเตอร์ของเราหรือเปล่า บางทีอาจเป็นเพื่อนของเรา…