京セラコミュニケーションシステム
セキュリティ事業部 副事業部長
徳丸 浩(とくまる ひろし)
Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。
筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。
これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい弱性についてまったく知らない」というケースが多かったのに対して,最近は「一応知ってはいるが正しい対処方法を知らない」というケースが多くなりつつあるように感じている。本稿では,Webアプリケーションのぜい弱性のうち,「インジェクション系ぜい弱性」について取り上げ,正しい対策の方法について説明することにしたい。
インジェクション系のぜい弱性とは
Webアプリケーションのぜい弱性のうちで特に有名なSQLインジェクションとクロスサイト・スクリプティングは,命名が異なるため気付きにくいかもしれないが,実は共通の原理に基づく。したがって,原理が共通だということは,対策にも共通の原則があることにほかならない。このため,共通原理・原則を理解することにより,各ぜい弱性に対する正しい理解が容易になり,場当たり的な対策や,間違った対策をする可能性を減少させることが可能となる。
インジェクション系ぜい弱性の一般論を説明する前に,その典型例であるSQLインジェクションについておさらいをしておこう。SQLインジェクションとは,データベース・サーバーに送るSQL文を構成するパラメータにSQL断片を挿入してSQLの意味を改変し,不正な操作を実行することである。例えば図1のように,ユーザー認証の入力フォームを悪用する場合。通常は,ユーザーIDとパスワード入力からSQLを実行して,IDとパスワードの組み合わせの妥当性を確認する。ここではプログラミング言語としてはPerlやPHPを想定している。
詳細は、ITproの記事本文をご覧ください。
昨日読まれたベスト5〈IT〉 最新記事一覧へ 画面先頭に戻る
- スルガ銀と日本IBMの「動かないコンピュータ」訴訟、要件定義を3回繰り返す(2008/04/25)
- 2001年にググったら? 創立10周年の米グーグルが特設サイトを開設(2008/10/01)
- 思考停止というリスク(2008/10/03)
- 「しまった!」と思う瞬間ランキング(2008/10/03)
- TVバンク、プロ野球の生中継で過去最高の同時視聴者と総視聴者を記録(2008/10/03)
IT 最新記事 記事ランキング一覧に戻る 画面先頭に戻る
- コンサル会社がiPhoneを1000台導入、国内法人で初の大口契約 (15:30)
- バーチャルコミュニケーションズがWebサイト統制SaaSに新版、レポートを強化 (15:28)
- Windowsはどうやって起動しているのか? (15:17)
- 次世代データセンター、SaaSやグリーンIT化の中核基地に (15:16)
- SAPジャパンCEO、突如交代の真相 (15:16)
- クラウドの台頭は本物か (15:14)
- 目玉調査企画の準備に苦戦 (15:12)
- 地デジラジオでサイマル放送を開始した在京AM放送3社の狙い (15:10)
- Androidや次世代PHSをいち早く体験,人体や可視光を使った通信も (15:10)
- SNS「炎上から足あと事件簿まで」、興隆時代の落とし穴 (15:10)