SQLインジェクションとは
SQLインジェクションとは、アプリケーションのセキュリティ上の脆弱性を利用して、不当なSQL文を実行させて、データベースに想定外の動作をさせる攻撃のことである。
主にSQLに引き渡すデータに、SQL文の一部を含ませることで、意図と異なるSQL構文を生成してデータベースへアクセスする。この手法を利用することで、データベースのすべてのデータを表示させるようにしたり、データの改竄を行うことができる可能性がある。
この問題は、基本的にアプリケーション側で引き渡すデータを適切に処理をしていなかったり、データの値のチェックが行われていないことにより引き起こされる。
本来は、Webアプリケーション側が様々な入力項目やPOSTデータを試験することで問題を事前に修正することが可能である。こういったアプリケーションの脆弱性をシステム的に回避するためにWAF(Web Application Firewall)といった製品を利用して、対策する場合もある。
WAFの機能をapacheに実装した、mod_securityというモジュールがある。mod_securityは、WAFと同じようにWebアプリケーションへの代表的なアタックと思われる内容を検知してエラーとして返すことができる。
【Webセミナー】OSSで構築する対応管理プラットフォームZammad・CuMAS紹介セミナー
| 日程: | 1月22日(木)Webセミナー「BigBlueButton」を使用します。 |
| 内容: | 対応管理プラットフォームとは、問い合わせや依頼を一元管理し、対応状況を可視化・効率化するための業務支援プラットフォームです。今回は様々な問い合わせを一覧で管理できるOSSのZammad・CuMASを紹介します。 |
| ご興味のあるかたはぜひご参加ください。 | |
