図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

SQLインジェクション攻撃とは

投稿日:

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、アプリケーションが想定していないSQLコマンドが実行される事です。攻撃者はSQLインジェクション攻撃を行う事で、不正にSQLコマンドを実行してデータベースから情報を搾取したり、不正ログインを行う事ができます。

SQLインジェクションの仕組み

例えば、以下のようなログイン画面があったとします。

SQLインジェクションの仕組み

「ログインID」に入力された値は$userに、「パスワード」に入力された値は$passに格納されるとします。また、「ログイン」ボタンを実行すると、

が実行されて、その後ユーザに紐づくパスワードが合致していれば認証が通るプログラムがあったとします。攻撃者はtanakaというユーザIDでSQLインジェクションを利用してログインを試みるとします。SQLインジェクションを実行させるために、攻撃者は「パスワード」フィールドに以下のような文字列を入力します。

ログインID $user tanaka
パスワード $pass ‘ OR ‘A’ = ‘A

これを「ログイン」ボタンを実行した際のSQL文に代入してみましょう。

解釈すると、userID=tanakaであって、かつパスワードがブランクもしくはA=Aの場合のユーザ情報をSelectする、という意味になります。’A’=’A’は必ず真と判定されるので、パスワードが実際のパスワードと違ってもログイン認証が成功されてしまう事が発生します。

SQLインジェクション対策

実際は上記の例のような簡単なSQLインジェクションは成功しません。個人が作成したアプリケーションであれば別ですが、一般的なアプリケーションであれば既に対策済みです。またWAF(Webアプリケーションファイアウォール)を導入しれいれば複雑なSQLインジェクションも検知・ブロックが可能です。

一般的なSQLインジェクションの対策としては、アプリケーション開発でのセキュアなプログラミング手法を取り入れる事です。基本的な方法としてはSQLで利用する事ができる特殊文字をエスケープする事で、攻撃者がアプリケーションの入力フォームにSQLコマンドを入力したとしても無害な文字列に変換する事ができるようにします。

SQLインジェクションの疑似体験

SQLインジェクションを疑似体験するサイトは多数ありますが、明治大学の情報セキュリティ研究室が作成したWebアプリケーションの脆弱性の解説&体験ページが非常にわかり易いので紹介します。このサイトでは下の図のような脆弱な会員検索サービスがあります。SQLインジェクションを試すには「検索したい会員の名前を入れてください(脆弱)」の方でコマンドを試してみましょう。

sql injectionの例

一般的なSQLインジェクションとして、以下のSQL文を追加してみましょう。

上記のSQL文を「検索したい会員の名前を入れてください(脆弱)」に入力して、「検索」を実行します。

sqlインジェクションの例

これは、ユーザ名はxxxxもしくはA=A、という意味となります。A=Aは常に真ですので、SQL文が成立します。結果としては以下のような画面が表示されます。

SQLインジェクションの例

つまり、ユーザ情報が全くわからない状態でも、SQLインジェクションによって全てのユーザの情報を表示することができてしまいました。

明治大学のWebアプリケーションの脆弱性の解説&体験ページにはSQLインジェクション以外にもクロスサイトスクリプティング攻撃も試す事ができます。

広告

広告

-図解サイバーセキュリティ用語

関連記事

デジタルタトゥーとは?

デジタルタトゥーとは、インターネット上で公開されたり流出した個人情報などは、後から消すことが極めて難しい事を入れ墨に例えた表現です。もしかするとインターネット上で拡散した情報を消すより入れ墨を消す方が …

PDoS(Permanent Denial of Service)とは?

PDoSとはPermanent Denial of Serviceの略で、サービスを不能にする事以上にハードウェアを破壊する事によって永久にサービスを不能にする事を目的としている攻撃の手法の事を言いま …

異常検知 シグネチャ検知とアノマリー検知 図解サイバーセキュリティ用語

マカフィーやシマンテックなどのウィルス対策ソフトやSourceFireなどのIDS/IPS製品では異常検知を行う事によって、不正なトラフィックや悪意のあるコマンドを検知しています。異常検知には主にシグ …

no image

危険なパスワード2017

調査会社のSplashDataが2017年の危険なパスワード100「Worst Passwords of 2017 Top 100」を公開しました。ひとまずランキング1位から10位を紹介します。 Ra …

ディープウェブ、ダークウェブって何? 図解サイバーセキュリティ用語

インターネット上では様々な情報を収集することができますが、良い情報ばかりではありません。インターネットは犯罪者が違法な情報(他人のクレジットカードや個人情報など)や物(麻薬や武器など)を売買するための …