国内WebサイトでSQLインジェクションの脆弱性 - 中小企業や個人も対象に

徳原大  [2016/03/16]

JPCERTコーディネーションセンター(JPCERT/CC)は3月16日、国内外から複数の報告が寄せられたとして、国内のWebサイトにSQLインジェクションの脆弱性が存在するとして注意喚起を行った。

JPCERT/CCによると、オープンソースのSQLインジェクション脆弱性診断ツール「sqlmap」を利用し、国内のWebサイトで動作するWebアプリケーションを対象としたSQLインジェクションの脆弱性を検出しようとするアクセスが海外から行われているという。このアクセスは、組織規模の大小を問わず、中小企業や個人のWebサイトでも行われているため、注意が必要としている。

SQLインジェクションの脆弱性は、開発者が意図しない形にSQL文が改変されるもので、認証回避や任意のプログラム実行、情報漏えい、Webサイトの改ざんなど、さまざまな影響を受ける可能性がある。ツールのsqlmapは主に、以下のような5つのSQLインジェクションの手法を用いる。

  • Boolean-based blind WHERE 句、HAVING句の真偽値を利用する手法

  • Time-based blind データベース側の応答時間差により情報を取得する手法

  • Error-based データベース側からのエラー応答から情報を取得する手法

  • UNION query-based 別々のテーブルの検索結果を結合するクエリを使用する手法

  • Stacked queries 1回のトランザクションで複数のクエリを実行させる手法

JPCERT/CCでは、Webアプリケーション開発者、管理者に対し、SQLインジェクションに関する対策を打つよう呼びかけている。

開発者向けの対策

  • Webアプリケーション開発にバインド機構を使う
  • 最小限の権限に設定
  • SQLインジェクションのテストを実施

管理者向けの対策

  • 最小限の権限に設定
  • サイトにSQLインジェクション脆弱性がないかを調査
  • Webアプリケーションをアップデート
<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

[菜々緒]スタッフのミスに“鉄拳制裁” 強烈ビンタは否定も…
[12:25 5/28] エンタメ
[山崎賢人]初めての相手は菜々緒 強烈ビンタに「気持ちよかった」
[12:02 5/28] エンタメ
「ポーの一族」新作や萩尾望都×山岸凉子の対談がflowersに、穂積の新連載も
[12:00 5/28] ホビー
くりぃむ上田がご満悦… ダメージジーンズ作りに「最高の出来」
[12:00 5/28] エンタメ
[とと姉ちゃん]“朝ドラ女優”ブレークの秘密 「森田屋」秋野暢子&ピエール瀧が語る
[12:00 5/28] エンタメ

特別企画 PR

求人情報