第4回 話題のSQLインジェクションを防ぐWebサイトは,そのサイト固有のサービスを提供するための機能を備えている。ショッピング・サイトなら,商品を紹介するためのカタログ機能や,ショッピング・バスケット機能,決済機能などを備えているだろう。これらの機能を実現するアプリケーションにセキュリティ上の不具合(バグ)が残っている場合がある。これをWebアプリケーションのぜい弱性という。 バグの出方が多様であるように,Webアプリケーションのぜい弱性も多様なバリエーションがある。このうち,Webサイトの改ざんに直接結びつくぜい弱性としては以下が代表的なものとなる。 SQLインジェクション OSコマンド・インジェクション ファイル・アップロード機能のぜい弱性 これらのうち,現実に問題が数多く発生しているSQLインジェクションについて,以下で詳しく説明することにしよう。 ■SQLインジェクションによる改ざん SQLインジェクションとは,SQLに
