0-DAY - SIMPLE SQL INJECTION

あるオープンソースのCMSのセキュリティホールを探る際のFlashムービー。
映画のイントロのように始まり、怪しげな音楽と共にムービーが再生される等、あやしい雰囲気たっぷりに作られています。

IRCチャットで依頼が始まり、ソースのDL〜grepしてSQLインジェクションの脆弱性を見つけ、実際にIDとpassを取り出すまで。

こういう手口で脆弱性が発見されるんだな、というのがハッキリと分かります。
もちろん、ソースなど見なくてもURLから類推したりその他のパターンも多数あると思いますが、オープンソースの場合はこんな感じでソースをgrepされたりするんでしょうね。

SQLインジェクション対策の参考に。