Joomla! 3.4まではUTF-8の4バイト文字を悪用して重複するログイン名が登録できた

テクノロジーカテゴリーの変更を依頼記事元:

blog.tokumaru.org

53 usersがブックマークコメント

コメント

7

記事へのコメント7件

注目コメント
新着コメント

ockeghem Joomla!のadmin🍣問題についてまとめました

2017/01/02 リンク

b-wind 恐怖！MySQLの怪！ “🍣はMySQLのutf8文字エンコーディングの列ではインサートできない（UTF-8の4バイト文字を許していないため）ので、🍣以降を切り詰めるというMySQLの恐ろしい仕様があります。”

2017/01/03 リンク

tsekine 単にMySQLのutf8(utf8mb4というcharsetの存在も含めて)が💩だという話。

セキュリティ

2017/11/14 リンク

asakura-t （未確認）MySQLのあれはSQL_MODEによって動作が変わるんじゃないっけ？（デフォルト動作がほとんどな気はするけど、バージョンによってデフォルトが変わってたような気もする）

2017/01/20 リンク

deep_one user名にunique制約をつけない理由が理解できない。

2017/01/20 リンク

solidstatesociety 登録とログインの規則があってないのね

2017/01/03 リンク

b-wind 恐怖！MySQLの怪！ “🍣はMySQLのutf8文字エンコーディングの列ではインサートできない（UTF-8の4バイト文字を許していないため）ので、🍣以降を切り詰めるというMySQLの恐ろしい仕様があります。”

2017/01/03 リンク

kenzy_n 文字化ける

2017/01/02 リンク

ockeghem Joomla!のadmin🍣問題についてまとめました

2017/01/02 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

Joomla! 3.4まではUTF-8の4バイト文字を悪用して重複するログイン名が登録できた

以前の記事CMS四天王のバリデーション状況を調査したところ意外な結果になったで報告したように、Joomla... 以前の記事CMS四天王のバリデーション状況を調査したところ意外な結果になったで報告したように、Joomla!はログイン名の制限が非常にゆるやかになっています。であれば、🍣とか、💩などを含むログイン名が登録できるのだろうかという疑問が生じました。とはいえ、以前、Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因で報告したように、少なくともJoomla! 3.4.5までは、MySQLの設定上 UTF-8 の4バイト文字は登録できず、それ以降の文字が全て切り詰められるという問題がありました。このため、「admin🍣」というログイン名を登録しようとすると、🍣の切り詰めが起こって、adminユーザを二重に登録できなるのではないでしょうか? 試してみる Joomla! 3.4.8の環境を用意して管理者ユーザーを「admin」としておきます。下記のように、default

ブックマークしたユーザー

techtech05212024/01/09
wushi2017/11/15
tsekine2017/11/14
asakura-t2017/01/20
deep_one2017/01/20
apricoton2017/01/05
Hiro_Matsuno2017/01/04
gayou2017/01/04
digitalglm2017/01/04
solidstatesociety2017/01/03
b-wind2017/01/03
kontonb2017/01/03
tnoda782017/01/03
TokyoIncidents2017/01/03
mikage0142017/01/03
peketamin2017/01/02
sakura_mankai2017/01/02
mfham2017/01/02

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx