セキュリティ診断項目解説

title1

セキュリティ診断項目の例を一部解説いたします。セキュリティリスク回避にご利用ください。



SQLインジェクション(SQL Injection)

概要

 「SQLインジェクション」とは、ユーザの入力値を元にSQL文を動的に生成しているWebサイトにおいて、攻撃者によって任意のSQL文を実行され、データベース上のデータを不正に読み出し、変更、削除などが行われる攻撃です。

1:攻撃者は、WebサイトにSQL文を含んだ入力を行います。Webサイトがデータベース検索を必要とするリクエスト(画面遷移やユーザによる検索、登録など)を受け付けると、
2:Webサイト内でSQL文を作成してデータベースにアクセスします。
3:SQLインジェクションが行われた場合、攻撃者にインターネット経由で任意のSQL文を実行され、
4:データベース上のデータの漏えいや破壊などの被害を受ける可能性があります。


・注意を要するWebサイト

商品検索やユーザ登録など、コンテンツやデータをデータベースに保存し、読み込み・書き出しをしているWebサイトで注意が必要です。

SQLインジェクション

SQLインジェクション

脅威・発生しうるリスク

 攻撃者によって任意のSQL文が実行された場合、次のような被害を受ける可能性があります。

・攻撃のための情報収集

 攻撃者によってデータベースの種類やバージョン番号などデータベースの情報を取得するSQL文が実行される可能性があります。データベースの情報は、さらなる攻撃に使用される可能性があり、個人情報漏えいなどのリスクが高まります。

・機密情報の漏えい

 攻撃者によって情報を取得するSQL文を実行されると、機密情報が漏えいする可能性があります。また、MySQLやMicrosoft SQL Serverなど任意のファイルにアクセスできる機能を持ったデータベースでは、データベース内の情報だけでなく、機密情報を記録したファイルが漏えいする可能性があります。

・システムやデータの破壊・改ざん

 攻撃者によって不正なSQL文が実行されると、Webサイトのコンテンツやシステムの設定情報の改ざんなどが行われ、Webサイトが停止するなどサービス提供に影響が及ぶ可能性があります。

・他の攻撃のための踏み台

 Microsoft SQL Server には、OSコマンドを実行するストアドプロシージャがあります。攻撃者によってこのストアドプロシージャを呼び出されると、任意のOSコマンドが実行されてしまうため、OSコマンドインジェクションに使用される可能性があります。



ページトップにWebアプリケーション診断へ戻る


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ