TOPSoftware > SQLインジェクション、今もWebアプリを襲う古株の脅威(後...

Software

SQLインジェクション、今もWebアプリを襲う古株の脅威(後)

2018/03/22

J.M. Porup CSO

 SQLインジェクションは、Webアプリケーションのデータベースを完全に支配される恐れがある攻撃手法の中でも、洗練度という点では最下位に近い。SQLインジェクションを不朽の存在にしたのは、Webコミックxkcdの第327話に出てきた「Little Bobby Tables」だ。

前回から続く)

SQLインジェクションの検知方法

 SQLインジェクション攻撃への対策は難しくはない。だが、いかに聡明で善良な開発者といえども、手落ちは起こり得る。したがって、SQLインジェクション攻撃のリスクを軽減するためには、検知が重要な鍵の1つだ。Webアプリケーションファイアウォール(WAF)があれば、基本的なSQLインジェクション攻撃を検知してブロックできる。しかし、防御手段がWAFのみというのはよくない。

 侵入検知システム(IDS)は、ネットワーク型もホスト型も、SQLインジェクション攻撃を検知するようにチューニングできる。ネットワーク型IDSは、データベースサーバーへのすべての接続を監視して、疑わしい挙動をピックアップできる。ホスト型IDSは、Webサーバーのログを監視して、通常と異なる事象があった場合に警告を発することができる。

 しかし結局のところ、SQLインジェクション攻撃は十分に解明されており、簡単に予防できる。初めからSQLインジェクション攻撃を防ぐことがリスク低減の優先事項だ。

↑ページ先頭へ