情報処理推進機構(IPA)は、SQLインジェクション攻撃の被害を防止するため、ウェブアプリケーションにおける安全なプログラミング方法を解説した資料「安全なSQLの呼び出し方」を公開した。
SQLインジェクション攻撃は、ウェブアプリケーションの脆弱性などを利用し、データベースに対して運営者の意図とは異なる「SQL命令」を実行するもので、情報漏洩や改ざんが発生するおそれがある。
SQLインジェクションの発生するメカニズム(図:IPA)
SQLインジェクション攻撃は、2008年から2009年前半にかけて大量の攻撃が観測された。ピーク時に比べれば攻撃は減っているとの報告があるものの、2009年1月から2010年2月までの同機構が運営している「JVN iPedia」に対する攻撃を分析すると、約45%が「SQLインジェクション攻撃」であるなど、引き続き多くの攻撃が発生しているという。
さらに、一部オープンソースにおいて安全性が検証されていないものが存在したり、一般的な対策を実施していても、プログラミング言語やデータベースのエンジンに起因して、攻撃を受ける可能性があるなど、同機構では対策の重要性を指摘している。
今回公開した資料は、以前より同機構が提供している「安全なウェブサイトの作り方」の別冊で、ウェブアプリにおけるSQLの実装方法を解説。発生原因からプログラミング言語とデータベースにおける安全なソースコードの書き方などを収録した。全40ページで、同機構のウェブサイトよりダウンロードすることができる。
安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
情報処理推進機構(IPA)
http://www.ipa.go.jp/
(Security NEXT - 2010/03/18 )
ツイート
PR
関連記事
脆弱性DB「JVN iPedia」の登録数が1万5000件を突破 - 目立つスマホや制御システムの登録
KBMJ、ECサイトのセキュリティ診断サービスを100社限定5万円で提供
ジェイピー・セキュア、Apacheモジュール型WAFを発売
SCADAの脆弱性登録が前年から4倍以上に - JVN iPedia
国内外からウェブサーバに不正アクセス、カード情報が流出 - ヴァーナル
政府の公開サーバ、危険度「高」の脆弱性含むケースが14件
KVH、クラウド型のウェブアプリ脆弱性診断サービスを提供
12月はウイルス検出が前月から3割以上減少 - IPAまとめ
不正アクセスによる個人情報漏洩が判明 - 文科省
JP-Secure、Apacheモジュール型WAFのベータ版を提供
