「SQLインジェクション」とはどんな意味？

2009/08/21

1年以上前の記事です。内容が古い可能性があります。

これは、Webサーバーへの攻撃方法ですね。そこまでは分かります。
でも、どういった方法でどういった攻撃をするのか？　そして、どうやったら防げるのかは分かりません。
そこで、調べてみました。

【改訂第3版】 SQLポケットリファレンス (POCKET REFERENCE)
著者：朝井淳
販売元：技術評論社
発売日：2009-04-29
おすすめ度：
レビューを見る

その前にSQL（エスキューエル、シークェル）とは何ぞや？
これは、データベースとデータをやる取りする際の言語だと思っておけば問題ないでしょう。

アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法（中略）
アプリケーションが入力値を適切にエスケープしないままSQL中に展開することで発生する。（中略）
入力値を適切にエスケープすることで防ぐことができる。

と、Wikipediaだけで解決してしまいました。

つまり、入力値にエスケープ文字を含めた「’ OR ‘t’ = ‘t」なんて文字列を入れると「’t’ = ‘t’」が抽出条件となるため全レコードが選択されてしまう。
と、こういった攻撃方法らしい。
ただ、これだけで何ができるのかは不明。

そこで、もうちょっとだけ調べてみる。

□今夜分かるSQLインジェクション対策－＠IT

フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。

さっきまで思ってました。

　フォームに入力可能な部分だけが対策個所ではない。不正な入力の可能性を考える必要があるのは、GETやPOSTなどのクエリーやCookieの値、 HTTPヘッダなど、HTTP経由で送られてくるもの“すべて”と、それに加えてデータベースやファイルなどに保存されたデータを呼び出す際にも対策を怠ってはならない。ここに問題があると、セカンドオーダーSQLインジェクションと呼ばれる脆弱性を持つことになる。

要するに徹底的に「入力値」をチェックし、適切にエスケープする必要があるということでしょう。
さもないと、セカンドオーダーSQLインジェクションと呼ばれる脆弱性を持ってしまうとのこと。

こちらの記事では、さらに「シングルクォーテーションと絡まないSQLインジェクション」や「マルチバイト文字の問題」等を上げ、最後に対策を示しています。これはうれしい。
が、あまりにも専門的すぎるのでここでは割愛させていただきます。

ポイントとなるのはデータベースに送る「入力値」です。
「入力値」に「不正な文字列」を使うことでアプリケーションに誤動作を起こさせるのが「SQLインジェクション」ということになります。

近頃、SQLインジェクションによるウェブサイト攻撃が流行っているようです。
注意しましょう。
□SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ:ニュース – CNET Japan

- サーバー･ネットワーク, セキュリティ

Message コメントをキャンセル

: 「Adobe Creative Cloud」ユーザー注意！クレジットカード情報が抜き取られた可能性

要約すると、「9月11日～9月17日にかけて一部の顧客注文情報に不正アクセスがあった」とのこと。
Adobeの調査によると「不正アクセスにより顧客名、クレジットカード番号、有効期限等が抜き取られた可能性」があるということです。
つまり、「クレジットカードの不正利用」の可能性があるとのことで、ご自身で調べていただきたいとのこと。

さっそく調べてみたところ、自分は一先ず大丈夫だった様子。
ただし、今後も危険性は拭えないので、注意が必要だと思います。

自分の場合は「Adobe Creative Cloud」を契約しているためにAdobe社にクレジットカード情報を提供していました。
とりあえず、仕事で使ってるもんだから今更解約もできないし。。
あとは、定期的にチェックしながらもAdobeさんを信じて沈静化を待つしかないのかもしれないですね。

なお、ちょっと前にニュースになっていたようです。
□ Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に – ITmedia ニュース

まさかこういったことが自分の身に振りかかるとは。。