Shikata Ga Nai

Private? There is no such things.

SQLインジェクション(SQLi)とは?

Web Security Academy SQL injection

Hello there, ('ω')ノ

SQLインジェクション(SQLi)は、アプリケーションがデータベースに対して実行するクエリ(問い合わせ)を攻撃者が操作できてしまう脆弱性です。この脆弱性を悪用すると、本来アクセスできないデータを閲覧したり、データを改ざん・削除したりすることが可能になります。

たとえば、攻撃者は次のようなデータにアクセスできる可能性があります。
- 他のユーザーの個人情報や機密データ
- 管理者用のデータや設定情報

さらに、攻撃が深刻化すると、以下のような影響を及ぼす可能性もあります。
- データベース内の情報を完全に破壊(データの削除や改ざん)
- アプリケーションの挙動を変更し、攻撃者の意図した動作をさせる
- データベースの権限を乗っ取り、サーバーやネットワーク全体を侵害
- サーバーに負荷をかけ、サービス妨害(DoS攻撃)を引き起こす

SQLインジェクションの仕組み

通常、アプリケーションはデータベースに対して次のようなSQLクエリを実行します。

SELECT * FROM users WHERE username = 'admin' AND password = 'password123';

しかし、ユーザー入力が適切に制御されていない場合、攻撃者は次のような悪意のある入力を行うことができます。

' OR '1'='1

これが組み込まれると、SQLクエリは次のように変化し、認証をバイパスできます。

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

'1'='1' は常に真になるため、どんなパスワードでもログインが成功してしまいます。

SQLインジェクションの対策

SQLインジェクションを防ぐためには、以下のような対策を実施することが重要です。

  1. プリペアドステートメント(バインド変数)の使用

    • SQLクエリを動的に組み立てず、プレースホルダーを使用することで、入力値をエスケープし、安全に処理する。
    • 例(PHP + MySQL):
      php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?"); $stmt->execute([$username, $password]);

  2. 入力値のバリデーション

    • 数値のみを受け付ける場合は、is_numeric()intval() などを使用してチェックする。
    • 文字列の場合も、適切な正規表現を使って入力のフォーマットを確認する。

  3. 適切なデータベース権限の設定

    • アプリケーションが使用するデータベースユーザーには、最小限の権限を付与する。
    • 例えば、アプリケーションのDBユーザーにはDROPDELETEの権限を不要にする。

  4. エラーメッセージの制限

    • データベースのエラー情報をそのままユーザーに表示しない。
    • 500 Internal Server Error などの一般的なエラーメッセージを返す。

  5. WAF(Web Application Firewall)の導入

    • SQLインジェクションを検出し、ブロックする機能を持つWAFを導入することで、攻撃を防ぐ。

まとめ

SQLインジェクションは、アプリケーションのデータベースとやり取りする仕組みを悪用し、不正なデータ閲覧や改ざんを可能にする危険な脆弱性です。しかし、適切な対策を講じることで、攻撃リスクを大幅に低減できます。特に、プリペアドステートメントの利用は基本かつ強力な対策となるため、必ず実装しましょう。

Best regards, (^^ゞ