SQL インジェクション

high Web App Scanning プラグイン ID 98115

Language:

概要

SQL インジェクション

説明

今日の Web アプリケーションの動的コンテンツの要件により、Web アプリケーション (または他のプログラム) によって呼び出されて処理されるデータを保存するために、データベースバックエンドに依存していることが少なくありませんます。Web アプリケーションは、構造化照会言語 (SQL) クエリを使用して、データベースからデータを取得します。

多くの開発者の要求に応えるために、データベースサーバー (MSSQL、MySQL、Oracle など) には、データベースの拡張コントロールとホストオペレーティングシステム自体との相互作用を可能にする追加のビルトイン機能があります。

SQL インジェクションは、事前のサニタイズなしで、クライアントのリクエストから発信された値が SQL クエリ内で使用される場合に発生します。これにより、サイバー攻撃者が任意の SQL コードを実行してデータを盗んだり、データベースサーバーの追加機能を使用してさらに多くのサーバーコンポーネントを制御したりする可能性があります。

SQL インジェクションの悪用に成功すると、組織にとって打撃となる場合があるため、これは最も一般的に悪用される Web アプリケーションの脆弱性の 1 つです。

スキャナーがデータベース関連のエラーでサーバーをリクエストに応答させることができたため、このインジェクションが検出されました。

ソリューション

完全なアプリケーション機能を維持しながら SQL インジェクション攻撃を防ぐ唯一の実証済みの方法は、パラメーター化されたクエリ (プリペアドステートメントとも呼ばれます) を使用することです。データベースにクエリを行うこの方法を利用する場合、クライアントから提供された値は、SQL クエリの一部としてではなく、文字列値として処理されます。
さらに、パラメーター化されたクエリを利用するとき、データベースエンジンは自動的にチェックを行い、使用されている文字列が列の文字列と一致することを確認します。たとえば、データベース列が整数を含むように構成されている場合、データベースエンジンはユーザー指定の入力が整数であることをチェックします。