図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SQLインジェクション攻撃とは

投稿日:

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、アプリケーションが想定していないSQLコマンドが実行される事です。攻撃者はSQLインジェクション攻撃を行う事で、不正にSQLコマンドを実行してデータベースから情報を搾取したり、不正ログインを行う事ができます。

SQLインジェクションの仕組み

例えば、以下のようなログイン画面があったとします。

SQLインジェクションの仕組み

「ログインID」に入力された値は$userに、「パスワード」に入力された値は$passに格納されるとします。また、「ログイン」ボタンを実行すると、

が実行されて、その後ユーザに紐づくパスワードが合致していれば認証が通るプログラムがあったとします。攻撃者はtanakaというユーザIDでSQLインジェクションを利用してログインを試みるとします。SQLインジェクションを実行させるために、攻撃者は「パスワード」フィールドに以下のような文字列を入力します。

ログインID $user tanaka
パスワード $pass ‘ OR ‘A’ = ‘A

これを「ログイン」ボタンを実行した際のSQL文に代入してみましょう。

解釈すると、userID=tanakaであって、かつパスワードがブランクもしくはA=Aの場合のユーザ情報をSelectする、という意味になります。’A’=’A’は必ず真と判定されるので、パスワードが実際のパスワードと違ってもログイン認証が成功されてしまう事が発生します。

SQLインジェクション対策

実際は上記の例のような簡単なSQLインジェクションは成功しません。個人が作成したアプリケーションであれば別ですが、一般的なアプリケーションであれば既に対策済みです。またWAF(Webアプリケーションファイアウォール)を導入しれいれば複雑なSQLインジェクションも検知・ブロックが可能です。

一般的なSQLインジェクションの対策としては、アプリケーション開発でのセキュアなプログラミング手法を取り入れる事です。基本的な方法としてはSQLで利用する事ができる特殊文字をエスケープする事で、攻撃者がアプリケーションの入力フォームにSQLコマンドを入力したとしても無害な文字列に変換する事ができるようにします。

SQLインジェクションの疑似体験

SQLインジェクションを疑似体験するサイトは多数ありますが、明治大学の情報セキュリティ研究室が作成したWebアプリケーションの脆弱性の解説&体験ページが非常にわかり易いので紹介します。このサイトでは下の図のような脆弱な会員検索サービスがあります。SQLインジェクションを試すには「検索したい会員の名前を入れてください(脆弱)」の方でコマンドを試してみましょう。

sql injectionの例

一般的なSQLインジェクションとして、以下のSQL文を追加してみましょう。

上記のSQL文を「検索したい会員の名前を入れてください(脆弱)」に入力して、「検索」を実行します。

sqlインジェクションの例

これは、ユーザ名はxxxxもしくはA=A、という意味となります。A=Aは常に真ですので、SQL文が成立します。結果としては以下のような画面が表示されます。

SQLインジェクションの例

つまり、ユーザ情報が全くわからない状態でも、SQLインジェクションによって全てのユーザの情報を表示することができてしまいました。

明治大学のWebアプリケーションの脆弱性の解説&体験ページにはSQLインジェクション以外にもクロスサイトスクリプティング攻撃も試す事ができます。

広告

広告

-図解サイバーセキュリティ用語

関連記事

短縮URLとセキュリティ問題

短縮URLとはオリジナルのURLにリダイレクトするように設定された文字数が短いURLの事を言います。例えば、https://www.cyber-attack.net/cyber-security-di …

Miraiとは? 大規模なDDoSを発生させる、IoTをターゲットとしたマルウェア 図解サイバーセキュリティ用語

2016年10月に米Dyn社のDNSサービスをターゲットとしたDDoS攻撃が発生しました。このDDoS攻撃ではなんと何千万という端末から1.2テラバイト/秒のデータがDyn社のDNSサーバに送信された …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …

多層防御とは 図解サイバーセキュリティ用語

多層防御とは、複数の連続したセキュリティ対策によって攻撃を途中で食い止めるアプローチの事を言います。つまり、攻撃に対して効果的でないセキュリティ対策があったり、セキュリティ対策をバイパスするような攻撃 …

UDP Flood攻撃 図解サイバーセキュリティ用語

UDP Flood攻撃もDoS攻撃の一種で、Flood攻撃に属するものです。UDP Flood攻撃では攻撃者は以下の特徴のUDPパケットを作成して、ターゲットに送付します。 送信元IPを詐称 ランダム …