ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
「急増するSQLインジェクション攻撃,『データベース・セキュリティ』が一層重要に」---DBSCのセミナーより
「最近注目されている『SQLインジェクション攻撃』だが,決して新しいものではない。3~4年前から行われているので,『何をいまさら』というのが専門家の見方だ。ただし,2004年9~10月ごろから“使いやすい”攻撃ツールが公開されているために,SQLインジェクション攻撃が急増しているのは確かだ」――。ラックの代表取締役社長である三輪信雄氏などは7月25日,データベース・セキュリティ・コンソーシアム(DBSC)のセミナーにおいて,SQLインジェクション攻撃やデータベース・セキュリティについて解説した。 DBSCとは,データベースに関するセキュリティの議論や研究,情報発信を行うためのコンソーシアム。2005年2月に設立された。ラックの三輪氏が事務局長を務める。設立目的は,「データベース・セキュリティにかかわるさまざまな人々が集まれる場所を提供するため」(三輪氏)。 一口に“データベース・セキュリテ
SQLインジェクションに気をつけろ
「SQLインジェクション」によると思われる公開サーバーへの攻撃が相次いでいる。 SQLインジェクションとは,Webアプリケーションの脆弱性を突く攻撃手法の一つ。SQLインジェクション自体は目新しいものではない。しかし,SQLインジェクションを自動的に行うツールの出現により,最近特に目立ち始めたという。 業種や事業規模にかかわらず,Webサーバーを運営している企業/組織にとっては対岸の火事ではない。いつ狙われても不思議ではない。対策が急務である。「ウチはきちんと対策をしている」と考えている企業/組織も改めて確認すべきである。セキュリティに万全はない。 本稿では,IT Proに掲載したSQLインジェクションに関する記事をまとめた。対策を施すときや再確認時の参考にしていただければ幸いである。 ニュース ◆「WWWアプリケーションの92%が攻撃に対して脆弱性有り」,米WebCohortの調査 [2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
