PostgreSQLでのSQLインジェクションでシステムコマンド実行

https://www.postgresql.org/docs/9.3/static/sql-copy.html

今朝気づいたが、バージョン9.3以降では、COPYコマンド経由(PROGRAM)で外部コマンドを簡単に起動できる。xp_cmdshellの亡霊が再び…なんちゃって…

Advertisements