SQL Injection

Web Application

SQLインジェクション

不正なSQL文を注入して重要情報の取得や改竄(かいざん)を行うことが可能となる脆弱性、または攻撃のことです。

検証

ウェブアプリケーションのログイン画面において、以下のような実装(Java)がされているとします。

String userId="admin"; //フォーム[user_id]で入力したと想定
String passwd="hoge";  //フォーム[passwd]で入力したと想定

String sql = "";
sql += "SELECT * FROM m_user";
sql += " WHERE user='" + userId + "'";
sql += " and   pswd='" + passwd + "'";

そして、このSQLの結果が1件でもデータベースから返ってきたらユーザ認証OK、という仕様だとします。
ここで、次のような文字列を[user_id]に設定します。[passwd]には何も入力する必要がありません。

[' or 1=1--]

すると、生成されるSQLは以下のようになります。

SELECT * FROM m_user WHERE user='' or 1=1--' and pswd=''

RDBMS*1によりSQL文法に違いはありますが、[' or 1=1;--]といった文字列を埋め込むことで条件句を必ず真にすることが出来た場合、ユーザIDやパスワードを知らなくてもログイン後の画面に遷移することが可能となってしまいます。

対策

以下のような対策が必要です。

• SQLに使用可能な記号を受け付けない
  • SQLに使用可能な文字を排除する*2のではなく、許可する文字を定義し、それのみを受け付ける*3のが理想です。
• 適切なエスケープ
  • ブログやWikiなどといった、性質上SQLに使用可能な記号を受け付ける必要があるアプリケーションの場合、入力値を適切にエスケープしてください。
    エスケープ方法は参考サイトに詳細な解説があります。
    （丸投げゴメンナサイ）
• 入力値を直接SQL生成に使用しない
  • アプリケーションの仕様上、SQLで使用可能な記号をデータベースに登録する必要があって排除することが出来ない場合、入力した値をそのままSQL文の構築に使用せず、いわゆる「バインド*4」機能を使用してください。

ブラインドSQLインジェクション

• Blind SQL Injection (PDF)
• 隠されていたSQLインジェクション － ＠IT
• なぜPHPアプリにセキュリティホールが多いのか?：第6回　意外に知られていないブラインドSQLインジェクション｜gihyo.jp

リテラル表現形式

文字列(テキスト・リテラル、文字リテラルなど)

参考サイト

• 【CSL】CSL緊急注意喚起レポート～新手のSQLインジェクションを行使するボットの確認～ | LAC
  • IDS/IPS/WAF2などの防御システムをすり抜ける新手のSQLインジェクション攻撃だそうです。
• ダウンロード - HASHコンサルティング株式会社
  • HASHコンサルティング株式会社の代表取締役である徳丸浩氏の、WASForum Conference 2008における講演資料が公開されています。
    

• 「WASForum Conference 2008: SQLインジェクション対策再考」@水無月ばけらのえび日記
  • 水無月ばけら氏による講演メモです。

• 徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
• SQL インジェクション攻撃とその対策:
• [ThinkIT] 第2回：Webサイトへの不正アクセス手法とその対策 (3/3)
• SQL Injection Cheat Sheet
  • 上記サイトの翻訳
• Detection of SQL Injection and Cross-site Scripting Attacks
• SQL Injection Attacks by Example
• ORACLE SQL Injection Cheat Sheet