インプレス ビジネスメディア

第1回:Webアプリケーション開発者が知っておくべきセキュリティ (2/3)

TOPシステムトレンド> Webアプリケーションのセキュリティ実装
安全なウェブサイト
安全なWebサイトの作成ガイド

第1回:Webアプリケーション開発者が知っておくべきセキュリティ
 著者:独立行政法人 情報処理推進機構セキュリティセンター
2006/2/9
前のページ  1  2   3  次のページ
Webアプリケーションのセキュリティ実装

   ここでは、Webアプリケーションのセキュリティ実装として、IPAへの届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を主に取り上げ、それらに対する根本的解決および保険的対策を示します。
  • SQLインジェクション
  • OSコマンド・インジェクション
  • クロスサイト・スクリプティング
  • セッション管理の不備
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • メールの第三者中継

表2:開発者が注意すべき点
SQLインジェクション

   データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にデータベースへの命令文を組み立てます。ここで、命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。

   この問題を悪用した攻撃手法は、一般に「SQLインジェクション」と呼ばれています。

SQLインジェクション
図1:SQLインジェクション
(画像をクリックすると別ウィンドウに拡大図を表示します)

   SQLインジェクションの脆弱性がある場合、悪意あるリクエストにより、データベースの不正利用をまねく可能性があります。

   SQLインジェクション攻撃を受けた場合、データベースに格納された情報を不正に取得されたり、改ざんされたりする可能性があります。SQLインジェクションの対策として、これから解説する内容をご検討ください。
根本的解決

   まずは根本的解決について解説します。根本的解決として表2にあげた3つがあります。

  • SQL文の組み立てにバインド機構を使用する
  • バインド機構を使用できない場合は、SQL文を構成するすべての変数に対しエスケープ処理を行う
  • Webアプリケーションに渡されるパラメータにSQL文を直接指定しない

表3:SQLインジェクションの根本的解決

   それではこの3つについてそれぞれ解説していきます。
SQL文の組み立てにバインド機構を使用する

   これは、SQL文が混入する原因を作らない実装です。バインド機構とは、実際の値がまだ割り当てられていない記号文字(プレースホルダ)を使用してあらかじめSQL文の雛形を用意し、後に実際の値(バインド変数)を割り当ててSQL文を完成させる、データベースの機能です。

   バインド変数の値はエスケープ処理されてプレースホルダに渡されるため、利用者に入力された悪意あるSQL文の実行を防ぐことができます。データベースエンジンや開発環境によっては専用の機能が用意されている場合があるので、この機能の活用をお勧めします。

参考URL
 セキュアDBプログラミング「バインドメカニズムを活用しよう」
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html
バインド機構を使用できない場合は、SQL文を構成するすべての変数に対しエスケープ処理を行う

   これは、根本的解決「SQL文の組み立てにバインド機構を使用する」のバインド機構を実装できない場合に実施すべき実装です。

   利用者から入力されるパラメータや、データベースに格納された情報など、SQL文を構成するすべての変数や演算結果に対し、エスケープ処理を行ってください。

   エスケープ処理には、文字の置換(例えば、「.」→「..」、「\」→「\\」など)や関数(例えば、DBIのquote()など)を利用する方法があります。

   なお、SQL文にとって特別な意味を持つ記号文字は、データベースエンジンによって差異があるため、利用しているデータベースエンジンに合わせて対策を行ってください。

参考URL
 セキュアDBプログラミング
「入力文字列はエスケープしよう」「LIKE句では%と_に気をつけよう」
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html
前のページ  1  2   3  次のページ
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み

 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。

本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。

 安全なウェブサイトの作り方
 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf

 脆弱性関連情報に関する届出について
 http://www.ipa.go.jp/security/vuln/report/index.html

 IPA(独立行政法人情報処理推進機構)
 http://www.ipa.go.jp/index.html

 IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター)
 http://www.ipa.go.jp/security/index.html
独立行政法人情報処理推進機構セキュリティセンター
 著者プロフィール
独立行政法人 情報処理推進機構セキュリティセンター
情報処理推進機構セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
INDEX
第1回:Webアプリケーション開発者が知っておくべきセキュリティ
  はじめに
Webアプリケーションのセキュリティ実装
  Webアプリケーションに渡されるパラメータにSQL文を直接指定しない
安全なWebサイトの作成ガイド
第1回 Webアプリケーション開発者が知っておくべきセキュリティ
第2回 OSコマンド・インジェクションとクロスサイト・スクリプティング
第3回 セッション・ハイジャック、パス名パラメータを悪用したファイル参照、メールの第三者中継
第4回 Webサイトの安全性向上のための取り組み - 運用レベルでの解決や対策
第5回 認証情報の不正取得とフィッシング詐欺

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 12月5日 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 12月5日 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12