iOSアプリケーションにおけるSQLインジェクションに焦点を当て、正しく実行されないクエリが深刻な攻撃につながる可能性があることを説明します。
登録IDを1に設定し、登録ボタンをクリックすると、「登録が成功しました」と表示されます。
次に、違うユーザー名と「ログイン」をタップしてみましょう。誤った資格情報として認識され、「誤った資格情報です」と表示されます。
正しいユーザー名とパスワードを入力すると、「ログイン成功」と表示され、アプリケーションの機能が正常であることが確認できます。
続いてSQLインジェクションを試してみましょう。一般的なSQLインジェクションの例として、x or x = x を使用します。これをコピーして貼り付け、ログインボタンをタップします。
正しいユーザー名とパスワードを入力せずにログインが成功します。これがSQLインジェクションの一例です。
