[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

544users がブックマーク コメント 96

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

「世界最悪のログイン処理コード」を解説してみた

544 users qiita.com/YSRKEN

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント96

  • 注目コメント
  • 新着コメント
ockeghem
徳丸本2に添付のBad Todo(脆弱なサンプルアプリ)も結構エグいが、養殖物は天然物にはまったくかなわないことをあらためて実感した

その他
coppieee
apiService.sql()のとこネットワーク絡むし同期的に実行できないから動かない。多分フェイク。

その他
Hamachiya2
確かにこれはフェイクっぽいけど、公開されてるWebサービスでクライアントJSから任意のSQL実行してるのは実際に見たことある

その他
yumainaura
ふつう頑張ってもここまで悪く出来ない

その他
WildCard
https://qiita.com/YSRKEN/items/0095cf75be3f607b0f98

その他
Rishatang
「どこからどこまでもクソコードな癖に、「===」演算子を使うことで暗黙の型変換をキッチリ回避している」これ思った

その他
napsucks
全ユーザ取得して検索してる上にパスワードが平文かよ、ってのは気づいたが、まさかユーザ端末上で動いてるとは思わなかった。サーバサイドJSかなと。

その他
teppeis
古来より伝わる sync xhr という禁じられた技法があってな、なんでも通信を同期実行できるという。しかしその代償として世界の時が止まってしまう恐ろしい技法じゃ

その他
aoasagi
問題点1でフフってなる

その他
otchy210
まず任意の SQL を実行できる API を書いた人がいたわけで。

その他
yamadar
色々と笑う。どこから突っ込めば良いのか分からねぇぜ...

その他
JULY
クライアント上のJavaScriptで書かれている事が諸悪の根源、みたいに書かれているけど、それだと、本質を見落としそうな気が。2〜5の問題が見えやすいだけで、どれもNGだと思うが...。

その他
k-motoyan888
Cookieにユーザー情報保存してないのでユーザーごとのアカウントが必要なシステムには見えないし、BasicAuthで十分ではないのだろうか?

その他
homarara
これがBtoCで無事運用されてたなら、世界はまだまだ捨てたものではないかもしれない。

その他
niship_0822
"「あまりに脳筋なためにSQLインジェクションできない」"

その他
UDONCHAN
いい話

その他
nunux
自分はこのログイン処理コードをハッキングできないので、「セキュリティ上、何の問題があるのか」をしっかり理解できていないということになる。

その他
nakayossi
if ("true" === "true") { return false; }とか、ネタにしか見えない。

その他
hiddy216
さすがにわざと書いたんじゃないのかなあ

その他
rjge
単純にreturn falseせずに"if ("true" == "true")"を噛ませているあたり趣深い

その他
Cujo
くらいあんとがしゃないたんまつにげんていできるならまだ(あかん

その他
okzk
apiServiceの同期呼び出しのトコでフェイクっぽいなー、と思って調べたら、XHRで同期呼び出しができる(できた?)らしいので、あながちフェイクではないかも?と思い直した、そんな午後。

その他
torinosito
......他モジュールのテスト用でもひどいなと思ったが、実際に使われてたのか。まあテスト用モジュールにしてもパスワードが平文の時点であれだが。 つーか、"put this in a different file"って、これを使いまわす気だったの!?

その他
cubed-l
よくこんなひどいものを思いつけるものだなあ

その他
kote2kote2
無料で診断してもらって開発者は儲けものだな。

その他
stk132
sql見えたからphpかなと思ったらjsだって気づいたとき、戦慄したよね

その他
gowithyou
if ("true" === "true") { return false; } は哲学を表現したものだな。きっと

その他
youhey
純粋に楽しんでしまったけど、ログイン成功したユーザIDとパスワードをクエリストリングで引き回すという金融系の携帯サイトを10年以上前に引き継いだことあるから、あまり笑えない。

その他
esper
そうそう、コメント欄にもあったけど、apiService.sqlが同期処理で動いてるのが謎というか、ネタ感を感じる。

その他
kfujii
"真"が"真"であるならば偽を返す...深い...

その他
dnsystem
変数名がきれいすぎる

その他
rAdio
パッと見て、「危ないけどよくあるヤツだし、世界最悪というほどでは...」と思ったら、クライアントJSかよ。そりゃすごい。もしユーザとしてこれを発見したら、変な声が出そうになるな...。

その他
securecat
イントラならおかしなことした社員を業務規則で罰すればいいので問題ないみたいな運用か?

その他
Helfard
こんにちはこんにちは!

その他
stealthinu
全く同様のログイン処理のコードを以前見たことがある... イントラ用のコードしか書いてないとこがWeb系書くとやばい。その時は指示系統こっちじゃなかったが流石に受注元経由で指摘し修正させた。

その他
bestation
事実ならなんのサービスなんだろか。

その他
ikosin
apiService、一体何者なんだ

その他
girled
さっきこの話してたら「でも、ログイン出来るだけマシでしょ」って言われて何も言えなかった

その他
eerga
TODOあるし、フェイクっぽい。開発中のコード?

その他
maangie
ブックマーク・コメントも。

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「「世界最悪のログ...」が注目されています。

気持ちをシェアしよう

ツイートする

「世界最悪のログイン処理コード」を解説してみた

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure y... Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 ところでこのツイートを見てほしい。このソースコードをどう思う? 世界最悪のログイン処理コード。 実際のサービスで可動していたものだとか......https://t.co/C2bG93ZCkj pic.twitter.com/EfVNAEslrn — はっしー@海外プログラマ🇳🇿元社畜 (@hassy_nz) 2018年8月10日 すごく......セキュリティーホールです...... 一応は動いていますが、あまりに問題がありすぎるため、Twitterでも話題になっていました。 問題点は片手に入り切らないぐらいある気がしますが、一つづつ解説していきま

ブックマークしたユーザー

  • ZAORIKU2025年07月25日 ZAORIKU
  • heroheat2025年07月25日 heroheat
  • imyutaro2025年07月25日 imyutaro
  • field_combat2024年01月04日 field_combat
  • techtech05212022年10月02日 techtech0521
  • sat0ma0142020年10月25日 sat0ma014
  • oniipoooon2019年12月02日 oniipoooon
  • hate_nao2019年04月08日 hate_nao
  • sett-42018年10月21日 sett-4
  • hkmfrjp2018年09月25日 hkmfrjp
  • ryotkn2018年09月18日 ryotkn
  • miguchi2018年09月07日 miguchi
  • yuuki55552018年09月05日 yuuki5555
  • OtaiaOmr3182018年09月05日 OtaiaOmr318
  • zombieinc2018年09月04日 zombieinc
  • alphabet_h2018年09月03日 alphabet_h
  • kami-arum2018年08月25日 kami-arum
  • souvenir0382018年08月24日 souvenir038
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /