あいぱすくえすと

初心者でも大丈夫!IT資格を取ろうよ!

「あいぱすくえすと」から電子書籍発売中!
「ネスペちゃん」「セスペちゃん」出てます!よろしくお願いします!
 
※Amazon kindle版 <詳しくはメニュー内の「電子書籍」読んでね。

あいぱすくえすと(18)インジェクション攻撃

テキストは、こちらから。無料で提供中です。

今回はセキュリティの分野から、インジェクションを
取り上げてみたいと思います。学生さんからも、紛ら
わしくてわかりにくい攻撃のようです。

f:id:koharuwest:20170526224119p:plain

SQLインジェクションとは

アプリケーションの不備を利用して、SQL命令を実
行させる
ことをいいます。たとえば、Webのフォーム
画面にデータベースを操作する命令を入力し、送信。
サーバが勘違いしてSQLを実行してしまう・・・な
どです。

OSコマンドインジェクションとは

SQLがOSを操作する命令に変わっただけです。こ
れにより、不正な命令を実行したり。他者の踏み台と
なって攻撃する
など被害を受けます。

違いは何だ?

単純に両者の違いはSQLかそうじゃないか・・・で
す。SQLはあくまでデータベース操作用の言語です
ので、やられると機密情報の流出などにつながります。

OSのほうは、いわゆるコマンドプロンプトの命令を
思い出してほしいのですが、コンピュータ自体が乗っ
取られ好き放題やられます。これはUNIX系でもM
acOSでもそうです。

防ぐにはどうすればいいか

バインド機構を使います。SQLやOSコマンドに該
当する命令文をエスケープし、無害化します。

また、サニタイジングといって、命令部分を別の文字
に置き換えて無害化します。

現在のSQLはこのバインド機構をしっかり搭載して
いますが、当然のように抜け道もあり。油断はナカナ
カできません。

さーて、明日のにしのさんは?

さて、次回からはいよいよ「まとめ」になります。

ストラテジ・マネジメント・テクノロジの各分野につ
いてと、ITパスポート全般の勉強、合格後の進路に
ついてお話していきます。最後までよろしくお願いし
ます。

んがっぐっぐ。