国内WebサイトでSQLインジェクションの脆弱性 - 中小企業や個人も対象に

 

JPCERTコーディネーションセンター(JPCERT/CC)は3月16日、国内外から複数の報告が寄せられたとして、国内のWebサイトにSQLインジェクションの脆弱性が存在するとして注意喚起を行った。

JPCERT/CCによると、オープンソースのSQLインジェクション脆弱性診断ツール「sqlmap」を利用し、国内のWebサイトで動作するWebアプリケーションを対象としたSQLインジェクションの脆弱性を検出しようとするアクセスが海外から行われているという。このアクセスは、組織規模の大小を問わず、中小企業や個人のWebサイトでも行われているため、注意が必要としている。

SQLインジェクションの脆弱性は、開発者が意図しない形にSQL文が改変されるもので、認証回避や任意のプログラム実行、情報漏えい、Webサイトの改ざんなど、さまざまな影響を受ける可能性がある。ツールのsqlmapは主に、以下のような5つのSQLインジェクションの手法を用いる。

  • Boolean-based blind WHERE 句、HAVING句の真偽値を利用する手法

  • Time-based blind データベース側の応答時間差により情報を取得する手法

  • Error-based データベース側からのエラー応答から情報を取得する手法

  • UNION query-based 別々のテーブルの検索結果を結合するクエリを使用する手法

  • Stacked queries 1回のトランザクションで複数のクエリを実行させる手法

JPCERT/CCでは、Webアプリケーション開発者、管理者に対し、SQLインジェクションに関する対策を打つよう呼びかけている。

開発者向けの対策

  • Webアプリケーション開発にバインド機構を使う
  • 最小限の権限に設定
  • SQLインジェクションのテストを実施

管理者向けの対策

  • 最小限の権限に設定
  • サイトにSQLインジェクション脆弱性がないかを調査
  • Webアプリケーションをアップデート
<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

声優・小倉唯、7thシングル「Future Strike」よりMUSIC VIDEOの一部を公開
[01:00 10/2] ホビー
ネコ好きは横浜に集まれ!横浜を愛したネコ好き文豪スポット
[00:21 10/2] 趣味
いつ訪れても新しさに満ちている、みんなが集うコスモポリス横浜
[00:21 10/2] 趣味
観て、味わって、買って、くつろげる総合エンターテインメント
[00:21 10/2] 趣味
スクート、新千歳=台北=シンガポール線就航「構想から長い時を経て」
[21:34 10/1] 趣味

求人情報