IPA ISEC セã‚ュア・プãƒã‚°ãƒ©ãƒŸãƒ³ã‚°è¬›åº§ï¼šWebアプリケーション編 第6ç« å…¥åŠ›ãƒ»æ³¨å…¥å¯¾ç–:SQL注入攻撃: #1 実装ã«ãŠã‘る対ç–SQLを用ã„ã¦ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã‚’扱ã†Webアプリケーションã¯ã€SQL注入を許ã•ãªã„よã†ã«ã™ã‚‹å¿…è¦ãŒã‚る。SQL注入攻撃対ç–ã®ã†ã¡ã€ã¾ãšã¯å®Ÿè£…ã«ãŠã‘る対ç–ã«ã¤ã„ã¦è¿°ã¹ã‚‹ã€‚ 文脈ã«å¿œã˜ãŸç‰¹æ®Šè¨˜å·å¯¾ç–ã¯ã‚³ãƒžãƒ³ãƒ‰æ³¨å…¥æ”»æ’ƒå¯¾ç–ã¨åŒæ§˜ã§ã‚ã‚‹ã€‚åŠ ãˆã¦ã€ãƒ—リペアードステートメントã®ä½¿ç”¨ã‚„言語ã®é¸æŠžã«ã‚ˆã‚‹å¯¾ç–を説明ã™ã‚‹ã€‚ 「SQL注入(SQL injection)ã€ã¯ã€ãƒ‘ラメータを埋ã‚込んã§SQL文を組ã¿ç«‹ã¦ã‚‹å ´åˆã€ãã®ãƒ‘ラメータã«ç‰¹æ®Šè¨˜å·ï¼ˆè¨˜å·ï¼‰ã‚’å«ã¾ã›ãŸSQLコマンドを与ãˆã‚‹ã“ã¨ã«ã‚ˆã£ã¦ã€ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã®ä¸æ£æ“作ãŒå¯èƒ½ã¨ãªã£ã¦ã—ã¾ã†å•é¡Œã§ã‚る。 å‚考: CWE-89: Improper Neutralization of Special Elements used in an SQL Command(日本語訳) SQL注入攻撃ã®ãƒ¡ã‚«ãƒ‹ã‚ºãƒ ã“ã“ã«ã€æ¬¡ã®ã‚ˆã†ãªSQL文を使用ã—ãŸãƒã‚°ã‚¤ãƒ³åˆ¤å®šãƒ—ãƒã‚°ãƒ©ãƒ ãŒã‚ã‚‹ã¨ã™ã‚‹
2-1. SQL組ã¿ç«‹ã¦æ™‚ã®å¼•æ•°ãƒã‚§ãƒƒã‚¯
ï¼ IT:Webアプリケーションã«æ½œã‚€ã‚»ã‚ュリティホール(2)- Page1
{{#tags}}- {{label}}
{{/tags}}