多くの企業や組織のホームページやショッピングサイトは、データベースを利用したWebアプリケーションが使われています。 このような場合には、Webサーバ経由でのデータベース接続を利用した攻撃方法であるSQLインジェクションへの対策が必要です。 SQLインジェクションには、テストを実行できるNetSparkerなどのツールがいくつかあります。今は使っていませんが有望そうです。 Exploit-Meは、いくつかの脆弱性をテストできるFirefox用のツール …

sqlインジェクションはパターンがある. sqlインジェクション攻撃 本格的なwebアプリケーションの場合、たいていその背後でsqlによりアクセスされるデータベース管理システムが稼働している。sqlは、データベースへのアクセスに使われるプログラミング言語の定番である。 sql インジェクションの具体的な攻撃例 「例えば、SQL文で文字列を囲むための記号であるシングルクォート「’」に続いて、 「個人情報を表示」といった悪意を持って細工された問合わせ命令文が、ウェブサイトに送られたとしよう。 今回、3問ほどクイズを出題させていただきました。3問ともやっていただいた方はお気づきかと思いますが、sqlインジェクションには決められたパターンがあります。 IPAが公開しているウェブ健康診断仕様の中にあるSQLインジェクションの診断をやってみます。 (ウェブ健康診断については、以前の記事 IPA ウェブ健康診断仕様とは？で説明しています) 診断内容 ウェブ健康診断仕様.pdf より抜粋 診断する環境 クライアントOS：OS X ブラウザ：Firefox (OWASP SQLインジェクションへの対策. xssやcsrf、sqlインジェクションなど主要な脆弱性をチェックできるツールです。テスト対象となるurlを指定すると、自動的に対象のサイトをクローリングし、urlを収集して検証します。