SQLインジェクション

Web Application

※今後はSQLインジェクション | セキュリティゆいがどくそんにて記事を更新します…

SQLインジェクション

不正なSQL文を注入して重要情報の取得や改竄(かいざん)を行うことが可能となる脆弱性、または攻撃のことです。

検証

ウェブアプリケーションのログイン画面において、以下のような実装(Java)がされているとします。

String userId="admin"; //フォーム[user_id]で入力したと想定
String passwd="hoge";  //フォーム[passwd]で入力したと想定

String sql = "";
sql += "SELECT * FROM m_user";
sql += " WHERE user='" + userId + "'";
sql += " and   pswd='" + passwd + "'";

そして、このSQLの結果が1件でもデータベースから返ってきたらユーザ認証OK、という仕様だとします。
ここで、次のような文字列を[user_id]に設定します。[passwd]には何も入力する必要がありません。

[' or 1=1--]

すると、生成されるSQLは以下のようになります。

SELECT * FROM m_user WHERE user='' or 1=1--' and pswd=''

RDBMS*1によりSQL文法に違いはありますが、[' or 1=1;--]といった文字列を埋め込むことで条件句を必ず真にすることが出来た場合、ユーザIDやパスワードを知らなくてもログイン後の画面に遷移することが可能となってしまいます。

対策

IPA 独立行政法人 情報処理推進機構：安全なウェブサイトの作り方にて公開されている安全なSQLの呼び出し方（全40ページ、714KB）を参照してください。

もしくは、いわゆる「徳丸本」の”SQL呼び出しに伴う脆弱性”の項を参照することをお勧めします。

ブラインドSQLインジェクション

• Blind SQL Injection (PDF)
• 隠されていたSQLインジェクション － ＠IT
• なぜPHPアプリにセキュリティホールが多いのか?：第6回　意外に知られていないブラインドSQLインジェクション｜gihyo.jp

リテラル表現形式

文字列(テキスト・リテラル、文字リテラルなど)

参考サイト

• 【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ | LAC
  • IDS/IPS/WAF2などの防御システムをすり抜ける新手のSQLインジェクション攻撃だそうです。
• ダウンロード - HASHコンサルティング株式会社
  • HASHコンサルティング株式会社の代表取締役である徳丸浩氏の、WASForum Conference 2008における講演資料が公開されています。
    

• 「WASForum Conference 2008: SQLインジェクション対策再考」@水無月ばけらのえび日記
  • 水無月ばけら氏による講演メモです。

• 徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
• SQL インジェクション攻撃とその対策:
• [ThinkIT] 第2回：Webサイトへの不正アクセス手法とその対策 (3/3)
• SQL Injection Cheat Sheet
  • 上記サイトの翻訳
• Detection of SQL Injection and Cross-site Scripting Attacks
• SQL Injection Attacks by Example
• ORACLE SQL Injection Cheat Sheet

関連書籍