Jtest Security－Java対応ソースコードセキュリティ検証ツール－

SQLインジェクション

SQLインジェクションは、ユーザの入力データを使用してSQL文を生成するWebアプリケーションの脆弱性を利用し、本来意図されたものとは異なるSQLを実行させ、権限のないデータの取得やデータ破壊などの不正なDB操作を行うセキュリティ攻撃です。

ログインフォームに入力されたユーザIDとパスワードでユーザを認証するアプリケーションがあるとします。

次のようにSQL文を作成しています

ここで攻撃者がユーザIDとして｢myid｣、パスワードとして｢>pass’ OR ’a’=’a｣を入力すると、結果として次のクエリーが発行されます。

結果として次のクエリーが発行されます。

ORから後が常に真であるため、すべてのレコードがWHERE句の条件に該当するようになり、不正なパスワードでも認証されてしまいます。
そのほかに、DELETE文によるデータの削除、テーブル名やカラム名といったスキーマ情報の取得などの不正操作が行われるケースもあります。

対策

SQLインジェクションに対する防御策としては、入力値を検証してSQL中で意味を持つメタ文字を適切にエスケープすることや、プリペアドステートメントの使用が有効です。
上の例をプリペアドステートメントを使用するよう変更すると、次のようになります。

次のようになります。

プレースホルダ｢ ? ｣で表されるパラメータは常に文字列として解釈されるため、入力データがSQL文の一部として扱われることはありません。
そのほかに、攻撃者に手がかりを与えないよう、データベースからの詳細なエラーメッセージをユーザに表示しない、また必要最小限の権限でデータベース操作を行うといった対策も挙げられます。

Jtest Securityのルール

SQLインジェクションから防御する

チェックできる入力データ

リモートメソッドおよびエントリポイントメソッドのパラメータ
ネイティブメソッド
検証を行っていない Struts フォーム
ネットワーク
Servlet リクエスト
ファイル
パイプ
リモートメソッド
リフレクションメソッド
環境変数およびシステムプロパティ
データベース
ストリーム指向 API (ストリーム、リーダー、チャネル)
コンソール
GUI コントロール

チェックできる SQL メソッド

java.sql.Statement

addBatch(String)
execute(...)
executeQuery(String)
executeUpdate(...)
setCursorName(String)

org.springframework.jdbc.core.JdbcOperations

execute(...)
query.*(...)
update(...)
batchUpdate(...)

検証メソッドの指定も可能: ルールのパラメータでは検証メソッドを指定することも可能です。検証メソッドは、不正な文字を含んでいる可能性のある入力データを受け取り、チェック済みの安全なデータをパラメータまたは戻り値として返すメソッドです。検証メソッドをパラメータで指定しておくと、チェック済みのデータに対して誤って違反が検出されることがなくなるため、解析結果の精度が向上します。

createStatementではなくprepareStatementを使用する

Jtest Securityが検出する脆弱性(抜粋)一覧

クロスサイトスクリプティング(XSS)
SQLインジェクション、コマンドインジェクション、XMLインジェクションなどのインジェクション(本ページ)
HTTPレスポンス分割
悪意のあるファイルの実行
強制ブラウズ
不適切なエラー処理(近日公開予定)

ページトップ


	Jtest8.4セキュリティルール OWASP Top 10対応表 OWASP Top 10で挙げられている10個の脆弱性に対応したJtestセキュリティルールの一覧表です。セキュアコーディングのすすめ1、2 ソースコードから実施するセキュリティ対策に関する技術資料です。資料/ダウンロードページより、ご提供しています。(ご登録が必要です。)

ページトップ