2007-03-02 カーソルインジェクション攻撃 Oracle info CREATE SESSIONシステム権限以外を持っていないユーザーでも可能な攻撃方法のようです。詳細な資料(PDF形式)が公開されています。 これまで、PL/SQLインジェクションの脆弱性を悪用するには、データベースに対する高い権限が必要になると考えられてきた。NGS Softwareのデータベースセキュリティ専門家であるDavid Litchfield氏は、米国時間3月1日に当地で開催されたイベント「Black Hat DC」で、新しい攻撃手法ならそうした制限も取り払えると話した。