〜SQLインジェクションからWeb サイトを防御する〜
SQLインジェクションはWebサイトからアイデンティティ情報その他の情報を盗み出すため攻撃者が使用する最も一般的な攻撃の1つです。脆弱なWebサイトに不正なデータベースコマンドを挿入することにより、攻撃者はバックエンドデータベースのコンテンツ全体に無制限にアクセスすることができます。ネットワークファイアウォール、IPS、更には専用Webアプリケーションファイアウォール技術も、伝統的なシグネチャベースの防御方法によりSQLインジェクションを特定しようとします。シグネチャによる防御は、Webトラフィックフロー内部でSQLインジェクションに関連したテキストパターンを特定しブロックしようとします。しかし、残念なことに、現実世界の経験上、SQLインジェクションを特定するにはシグネチャだけに依存するだけでは十分ではない、ということが証明されています。
このホワイトペーパーでは、ヘルスケアWebサイトに対する仮想の攻撃に読者を案内することにより、SQL攻撃プロセスの詳細な説明を提供します。その後で、このホワイトペーパーは、ネットワークファイアウォールおよび侵入防止システムが提供する伝統的シグネチャベース防御を回避するため一般的に使用される一連のSQLインジェクション回避技術を実証します。このホワイトペーパーの結論は、シグネチャによる防御だけではSQLインジェクションを特定するには実際的ではない、ということです。
ホワイトペーパー