ホワイトペーパー

SQLインジェクションとシグネチャ回避技法

株式会社アークン 2008年12月13日

〜SQLインジェクションからWeb サイトを防御する〜
SQLインジェクションはWebサイトからアイデンティティ情報その他の情報を盗み出すため攻撃者が使用する最も一般的な攻撃の1つです。脆弱なWebサイトに不正なデータベースコマンドを挿入することにより、攻撃者はバックエンドデータベースのコンテンツ全体に無制限にアクセスすることができます。ネットワークファイアウォール、IPS、更には専用Webアプリケーションファイアウォール技術も、伝統的なシグネチャベースの防御方法によりSQLインジェクションを特定しようとします。シグネチャによる防御は、Webトラフィックフロー内部でSQLインジェクションに関連したテキストパターンを特定しブロックしようとします。しかし、残念なことに、現実世界の経験上、SQLインジェクションを特定するにはシグネチャだけに依存するだけでは十分ではない、ということが証明されています。

このホワイトペーパーでは、ヘルスケアWebサイトに対する仮想の攻撃に読者を案内することにより、SQL攻撃プロセスの詳細な説明を提供します。その後で、このホワイトペーパーは、ネットワークファイアウォールおよび侵入防止システムが提供する伝統的シグネチャベース防御を回避するため一般的に使用される一連のSQLインジェクション回避技術を実証します。このホワイトペーパーの結論は、シグネチャによる防御だけではSQLインジェクションを特定するには実際的ではない、ということです。

CNET_IDでログインして資料をご覧ください

CNET_IDはCNET Japan/ZDNet Japanでご利用いただける共通IDです

パスワードをお忘れですか?

CNET_IDをお持ちでない方は
CNET_ID新規登録(無料)
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]