SQLインジェクションとは?

SQLインジェクションとは?

SQLインジェクションとは、 データベースを使用するアプリケーションに対し、 本来入力としては使われることが想定されていないSQL文章を送信することで、 データベースに不正な操作を加え不正に個人情報や機密情報を引き出す攻撃方法のことです。
ショッピングサイトやECサイト等、フォームに入力してデータベースを参照するようなサービスを提供しているWebサイトに脆弱性があると、不正な処理を含んだSQL文が実行され、データベースに保存されている情報を不正に閲覧されてしまうなどの影響があります。

攻撃方法

 

SQLインジェクション攻撃による影響の例

  • 登録ユーザーのカード情報の漏洩(データベースに情報が残る決済方式の場合)
  • 取引顧客の個人情報や契約内容
  • WEBサイトの改ざんによる多種多様な被害

攻撃されないための対策

WAFの導入

WAFはwebアプリケーションレベルでの防御を行うため、SQLインジェクションに対して有効な防御策です。

SQLインジェクションのテストを実施

SQLインジェクションは入力された命令に従って、WebアプリケーションがデータベースへSQLクエリを送信することで行われます。そのため、検索フォームやログインフォームなど、SQLクエリ送信が行われる場所に対してテストを行うことで、自社サービスの安全性をテストすることができます。

Webアプリケーション診断サービス

関連記事

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る