にしのくえすと

情報処理技術者試験のお勉強ブログ


にしのくえすととは?
・「情報処理技術者試験大好き」「ICT資格取りたい」な人のためのブログです。
・あいぱす、セキュマネ、基本、応用、セキュスペ(安全確保支援士)、ネスペあたりの話題が中心です。
・申し述べる見解はあくまで私人としてのもので、勤務先とは一切関係ございません。
・資格試験に関する記事は、自己責任でご利用ください。


・イラスト素材はAI CATCHER様のものを使用させていただいてます。ありがとうございます。

↓ 新刊「ネスペちゃん29」出ました!よろしくですっ!

・作者のプロフィールはこちら  ・にしの作「資格本」電子書籍についてはこちら←new!
・作者の日記系ブログ(不定期)「みがまえるよりはやく」   ・「にしのくえすと」プライバシーポリシー

あいぱすくえすと(18)インジェクション攻撃

テキストは、こちらから。無料で提供中です。

今回はセキュリティの分野から、インジェクションを取り上げ
てみたいと思います。学生さんからも、紛らわしくてわかりに
くい攻撃のようです。

f:id:koharuwest:20170526224119p:plain

SQLインジェクションとは

アプリケーションの不備を利用して、SQL命令を実行させる
ことをいいます。たとえば、Webのフォーム画面にデータベー
スを操作する命令を入力し、送信。サーバが勘違いしてSQL
を実行してしまう・・・などです。

OSコマンドインジェクションとは

SQLがOSを操作する命令に変わっただけです。これにより、
不正な命令を実行したり。他者の踏み台となって攻撃するなど
被害を受けます。

違いは何だ?

単純に両者の違いはSQLかそうじゃないか・・・です。SQ
Lはあくまでデータベース操作用の言語ですので、やられると
機密情報の流出などにつながります。

OSのほうは、いわゆるコマンドプロンプトの命令を思い出し
てほしいのですが、コンピュータ自体が乗っ取られ好き放題や
られます。これはUNIX系でもMacOSでもそうです。

防ぐにはどうすればいいか

バインド機構を使います。SQLやOSコマンドに該当する命
令文をエスケープし、無害化します。
また、サニタイジングといって、命令部分を別の文字に置き換
えて無害化します。

現在のSQLはこのバインド機構をしっかり搭載していますが、
当然のように抜け道もあり。油断はナカナカできません。

さーて、明日のにしのさんは?

さて、次回からはいよいよ「まとめ」になります。

ストラテジ・マネジメント・テクノロジの各分野についてと、
ITパスポート全般の勉強、合格後の進路についてお話してい
きます。最後までよろしくお願いします。

んがっぐっぐ。

情報処理技術者試験お勉強ブログ「にしのくえすと」 Presented by にしのA&F