TOPSoftware > SQLインジェクション、今もWebアプリを襲う古株の脅威(前...

Software

SQLインジェクション、今もWebアプリを襲う古株の脅威(前)

2018/03/20

J.M. Porup CSO

 SQLインジェクションは、Webアプリケーションのデータベースを完全に支配される恐れがある攻撃手法の中でも、洗練度という点では最下位に近い。SQLインジェクションを不朽の存在にしたのは、Webコミックxkcdの第327話に出てきた「Little Bobby Tables」だ。

Credit: Thinkstock/Google

 最初の発見は1998年までさかのぼるSQLインジェクションだが、いまだにインターネットの各所でWebアプリケーションに災いをもたらしている。Webアプリケーションのセキュリティに対する脅威のトップ10をまとめた「OWASP Top 10」の2017年版でも、第1位はインジェクションだった。

 不幸中の幸いなのは、攻撃側だけでなく防御側にとっても、SQLインジェクションはとりわけ扱い易い相手であることだ。ハッカー集団Shadow Brokersが暴露した米国家安全保障局(NSA)の最先端の攻撃キットとは違う。3歳の子供でも実践できるくらいシンプルだ。スクリプトキディ向きである。Webアプリケーションの修正でSQLインジェクションのリスクを抑えるのはごく簡単だ。それだけに、対処を怠るのは、これまでにも増して重大な過失だという印象である。

↑ページ先頭へ