【開発】安全な実装方法を解説、IPAが「安全なSQLの呼び出し方」公開 (10/03/18)(45)
- 1 ◆amidaMovTg @あみだくじψ ★ sage 2010/03/18(木) 21:12:15 ID:???
- 独立行政法人情報処理推進機構(以下、IPA)は3月18日、SQLインジェクション攻撃が継続していることから、
Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」(全40ページ)を公開した。
近年、Webサイトを狙った攻撃が後を絶たない。IPAが公開しているSQLインジェクション検出ツール「iLogScanner」で、
脆弱性対策情報データベース「JVN iPedia」のアクセスログを解析しても、全体の45%がSQLインジェクション攻撃、
38%がディレクトリ・トラバーサル攻撃によるトラフィックなのだという。
中でもSQLインジェクションは深刻な被害が発生することから、今回、具体的な対策を解説した資料を制作。IPAの
Webサイト上で公開した。
データベースと連動するWebアプリケーションの多くは、Webサイト利用者からの入力情報を基にデータベースへの
命令文(SQL文)を組み立てている。この組み立て方法に問題がある場合に、SQLインジェクションによる不正利用を
招く可能性がある。
IPAでは「オープンソースソフトの中には、十分な安全性が検証されずに使用されているものがある。プログラミング言語
やデータベースエンジンの種類によっては、一般的なSQLインジェクション対策が効かない場合がある」としており、
「安全なSQLの呼び出し方」では、SQLインジェクション対策が安全であるための要件を掘り下げて検討。どの製品を
どのように使えば安全なSQL呼び出しを実現できるか、その考え方を整理しながら、いくつかの具体的なケースに
ついて調査結果を示している。
全5章から構成され、第1章では、既存資料「安全なウェブサイトの作り方」との関連性を記載。第2章で「SQL インジェクション
が発生する原因」、第3章で「アプリケーションがSQL文を組み立てる方法について」、第4章で「安全なSQL呼び出しのためには
何が必要か」を説明。最後の第5章では、5種類のプログラミング言語とデータベースの組み合わせ(Java+Oracle、
PHP+PostgreSQL、 Perl+MySQL、Java+MySQL、ASP.NET+SQL Server)を取り上げ、SQLインジェクションに対して
安全な実装方法を調査し、具体的なソースコードの書き方を解説している。
http://internet.watch.impress.co.jp/docs/news/20100318_355462.html
総レス数 45
■ このスレッドは過去ログ倉庫に格納されています
IE等普通のブラウザで見る場合 http://tubo.80.kg/tubo_and_maru.html
専用のブラウザで見る場合 http://www.monazilla.org/
2ちゃんねる Viewerを使うと、すぐに読めます。 http://2ch.tora3.net/
この Viewer(通称●) の売上で、2ちゃんねるは設備を増強しています。
●が売れたら、新しいサーバを投入できるという事です。
よくわからない場合はソフトウェア板へGo http://hibari.2ch.net/software/
モリタポを持っていれば、50モリタポで表示できます。
read.cgi@hanako ver 2011/01/22
FOX ★ DSO(Dynamic Shared Object)