基本的にはわっるふ待ちなわけだけど(笑)。
データベースに引き渡す直前に、クエリの中身が妥当かどうかチェックするモジュール?ライブラリ?とかあったらいいのにな、とか思った。ライブラリとかだったら生成されたクエリを引き渡す際に、ラッパーっぽく呼び出してチェックする感じかなあ。
要件としては、ひとつのクエリに一つ以上のクエリが含まれたらアウチとか。正規表現的にクエリのテンプレを書いてホワイトリストにしておくと、マッチするクエリ以外ははじきとばすとか。新型攻撃手法への対策も、ホワイトリストのメンテナンスで対応するところは対応する。
まあ「出力」ってのは対データベースってだけじゃないし、まんま返信に使うこともあるのだから、返信に対しても返信文字列のテンプレをホワイトリスト化しておけば、いいのかな。なんかこのあたり、特にモジュールを作らなくても、例えばsuhosinの仕組みの中で少なくとも部分的には実現できそうな気もする。
もちっと調べて、論理的に検証してみるかなあ。
攻撃コード5万ドル
※「Vistaの攻撃コード、5万ドル」――明かされる闇市場の相場
http://www.itmedia.co.jp/enterprise/articles/0612/19/news006.html
5万ドルっつったら、600マソかあ。そりゃそっちに売るかもなあ。
というか、一過性の600万ではなくて、継続的に1000万プレーヤーになれるんだとしたら、けっこう勝負できるんでないかなあ。逆に、それくらい積んで見つけられる人をつなぎ止めないと、社会的にはまずいんでないかねえ。見つけるのがもしかして仕事ならば、その仕事のモチベーションとして見つける仕事してくれるかも知れないけど、基本は趣味性と資質だからなあ。
…ってかアレか。1000万はちょっとみみっちかったかな(笑)。すいません貧乏性で。それ以上のお金想像できないんです。
