にしのくえすと

情報処理技術者試験のお勉強ブログ


にしのくえすととは?
・「情報処理技術者試験大好き」な人、「ICT資格取りたい」人のためのブログです。
・ITパス、セキュマネ、基本、応用、セキュスペ(情報処理安全確保支援士)、ネスペ、デスペあたりの話題が中心です。
・申し述べる見解は勤務先とは無関係です。また、試験に関する記事は、自己責任でご利用ください。


・イラスト素材はAI CATCHER様のものを使用させていただいてます。素敵です!

↓ 電子書籍発売中です!「ネスペちゃん」「セスペちゃん」よろしくお願いです!
 
・作者のプロフィールはこちら  ・にしの作「資格本」電子書籍についてこちら
・作者の日記系ブログ(不定期)みがまえるよりはやく  ・「にしのくえすと」プライバシーポリシー

あいぱすくえすと(18)インジェクション攻撃

テキストは、こちらから。無料で提供中です。

今回はセキュリティの分野から、インジェクションを
取り上げてみたいと思います。学生さんからも、紛ら
わしくてわかりにくい攻撃のようです。

f:id:koharuwest:20170526224119p:plain

SQLインジェクションとは

アプリケーションの不備を利用して、SQL命令を実
行させる
ことをいいます。たとえば、Webのフォーム
画面にデータベースを操作する命令を入力し、送信。
サーバが勘違いしてSQLを実行してしまう・・・な
どです。

OSコマンドインジェクションとは

SQLがOSを操作する命令に変わっただけです。こ
れにより、不正な命令を実行したり。他者の踏み台と
なって攻撃する
など被害を受けます。

違いは何だ?

単純に両者の違いはSQLかそうじゃないか・・・で
す。SQLはあくまでデータベース操作用の言語です
ので、やられると機密情報の流出などにつながります。

OSのほうは、いわゆるコマンドプロンプトの命令を
思い出してほしいのですが、コンピュータ自体が乗っ
取られ好き放題やられます。これはUNIX系でもM
acOSでもそうです。

防ぐにはどうすればいいか

バインド機構を使います。SQLやOSコマンドに該
当する命令文をエスケープし、無害化します。

また、サニタイジングといって、命令部分を別の文字
に置き換えて無害化します。

現在のSQLはこのバインド機構をしっかり搭載して
いますが、当然のように抜け道もあり。油断はナカナ
カできません。

さーて、明日のにしのさんは?

さて、次回からはいよいよ「まとめ」になります。

ストラテジ・マネジメント・テクノロジの各分野につ
いてと、ITパスポート全般の勉強、合格後の進路に
ついてお話していきます。最後までよろしくお願いし
ます。

んがっぐっぐ。

情報処理技術者試験大好きブログ「にしのくえすと」 Presented by にしこにしおAF