SQLインジェクションチュートリアル

1. SQLインジェクション
波多浩昭
1

2. セキィリティ
 セキュアな状態
 意図しないことをなされないように、 何らかの対策が講じられ
ている状態
 セキュリティインシデント
 意図しないことをされてしまうこと（攻撃を受ける）
 意図せずに、セキュアではない状態に陥ること（物をなくす）
 セキュアな状態はセキュリティインシデントが発生しない状態と
は言えない
2

3. セキュリティインシデントとWebサーバの
関わり
 Webサーバそのものが被害を受ける場合
 Webサーバからパスワードやクレジットカード流出
 SQLインジェクション
 標的型メールによるウィルス感染
 Webサーバがセキュリティインシデントを助長
 成りかわりで、掲示板へ書き込みをされる
 クロスサイトリクエストフォージェリ
 ID乗っ取りによる
 セッションフィクセーション
 意図しないプログラムの実行
 クロスサイトスクリプティング
3

4. よくあるWebの構成（Servlet)
 よくある構成＝フレームワーク
JavaEE
(glassfish/wildflyなど）
Java
プログラム
(Servlet)
JSPファイル
Servlet型アーキテクチャ
RDBMS
(Oarcle,mysql,postg
reSQLなど）
JDBC
ブラウザ
4

5. サンプルアプリケーション SampleBBS
簡易掲示板アプリ SampleBBS
機能
ログインすると投稿可能
ログインしなければ検索閲覧のみ可能
タイトル検索画面
sssと入れて検索ボ
タンを押す
検索結果表示
5

6. SampleBBSの検索機能の概要
<form action=
“<%= response.encodeURL(”/SampleBBS/SearchArticles“) %>”
method="GET">タイトル検索
<input type="text" name="word" value="${param.word}">
<input type="submit" value="検索">
</form>
try(Statement st=con.createStatement();){
String sql = “SELECT * FROM articles A JOIN users U ON U.id=user_id WHERE title LIKE '%" + word +"%' ORDER BY 1";
ResultSet rs = st.executeQuery(sql); // 検索結果をリストに格納
while (rs.next()) {
articles.add(new Article(
rs.getInt("id"),rs.getInt("user_id"), rs.getString("email"), rs.getString("title"), rs.getString("body")));
}
}
検索画面 JSP
検索 Servlet
GET http://hostname/SampleBBS/SearchArticles?word=“sss”
SQL文の作成にStringオブ
ジェクトの結合を使う
6

7. データベーステーブル構造
+----+---------+--------+-----------------------------------------+
| id | user_id | title | body |
+----+---------+--------+-----------------------------------------+
| 1 | 2 | Titl1 | This is a contents of Article 1 |
| 2 | 2 | Titl2 | This is a contents of Article 2 of hiro |
| 3 | 1 | Titl3 | This is a contents of Article 3 of hata |
| 4 | 1 | Title4 | This is a contents of Article 4 of hata |
| 5 | 1 | sss | dfdsfsa |
| 6 | 2 | tt | tt |
+----+---------+--------+-----------------------------------------+
+----+--------------+----------+-----------------------+
| id | name | pass | email |
+----+--------------+----------+-----------------------+
| 1 | hata | hatahata | h.hata@olt.tokyo |
| 2 | hiro | hiro | test@ntt.com |
| 3 | hata2 | hahata | hata@olt.tokyo |
| 4 | hata2 | hahata | hata@olt.tokyo |
| 5 | hata2 | hahata | hata@olt.tokyo |
| 6 | rrr | 8888 | hata@qc5.so-net.ne.jp |
+----+--------------+----------+-----------------------+
検索実行のために２つの表を結合して、３つのカラムを取り出す
SELECT * FROM articles A JOIN users U ON U.id=user_id WHERE
title LIKE '%sss%' ORDER BY 1
+----+---------+-------+---------+----+------+----------+------------------+
| id | user_id | title | body | id | name | pass | email |
+----+---------+-------+---------+----+------+----------+------------------+
| 5 | 1 | sss | dfdsfsa | 1 | hata | hatahata | h.hata@olt.tokyo |
+----+---------+-------+---------+----+------+----------+------------------+
投稿記事とユーザ管理の２枚の表で構成される
投稿者特定のために、ユーザIDでリレーションされる
7

8. パスワードの流出
検索結果表示
' UNION SELECT 0,0,name,pass,0,'a','a','a'
from users where name like '%
検索窓にSQL文の断片を入力する
タイトルの部分にユーザID
本文の部分にパスワードが表示されている
8

9. SELECT、UNIONとJOINについて
SELECT:１つの表から別の新しい表を作り出す
JOIN:２つの表を横方向に並べて別の表を作り出す
UNION:２つの表を縦方向に並べて別の表を作り出す
A B
A B+ A B
A B+ A
B
SELECT
JOIN
UNION
9

10. 不正SQL文の動作
なぜパスワードが表示されたのか？
SELECT * FROM articles A JOIN users U ON U.id=user_id WHERE title LIKE '%'
UNION SELECT 0,0,name,pass,0,'a','a','a' from users where name like '%%' ORDER BY 1
+----+---------+-------+---------+----+------+----------+------------------+
| id | user_id | title | body | id | name | pass | email |
+----+---------+-------+---------+----+------+----------+------------------+
| 5 | 1 | sss | dfdsfsa | 1 | hata | hatahata | h.hata@olt.tokyo |
+---+---+--------------+----------+---+---+---+---+
| 0 | 0 | name | pass | 0 | a | a | a |
+---+---+--------------+----------+---+---+---+---+
| 0 | 0 | hata | hatahata | 0 | a | a | a |
| 0 | 0 | hiro | hiro | 0 | a | a | a |
| 0 | 0 | hata2 | hahata | 0 | a | a | a |
| 0 | 0 | hata2 | hahata | 0 | a | a | a |
| 0 | 0 | hata2 | hahata | 0 | a | a | a |
1個目のSELECTで生成された表（もともと意図していた表＝８カラムを持ち、うち３カラムを使う）
２個目のSELECTで生成された表
+----+---------+---------+------------+----+------+----------+-----------+
| id | user_id | title | body | id | name | pass | email |
+----+---------+---------+------------+----+------+----------+-----------+
| 0 | 0 | hata | hatahata | 0 | a | a | a |
| 0 | 0 | hiro | hiro | 0 | a | a | a |
| 0 | 0 | hata2 | hahata | 0 | a | a | a |
| 0 | 0 | rrr | 8888 | 0 | a | a | a |
| 0 | 0 | trew | 5555 | 0 | a | a | a |
| 0 | 0 | hhaat | 11111 | 0 | a | a | a |
UNION
10

11. SQLインジェクションの簡単な防止策
 検索窓などに入れられた文字列をSQL文の一部として解釈した
ことが原因
 入力された文字列に、’(シングルクォート文字）が含まれていたらエスケープする
 ’ => ¥’ “=>¥” #=>##
SELECT * FROM articles A JOIN users U ON U.id=user_id WHERE title LIKE '%
¥' UNION SELECT 0,0,name,pass,0,¥'a¥',¥'a¥',¥'a¥' from users where name like¥'%
%' ORDER BY 1
入力された文字列は、SQL文として解釈されない 11

12. SQLインジェクション対策
 データベース技術者としてできること
 プログラマーとしてできること
 ネットワーク技術者としてできること
12

13. データベース対策
 適切な権限の付与
 カラムごとにアクセス権限の設定できるデータベースの場合
サーブレットにはパスワードやクレジットカード情報を
含むカラムにはアクセス権限を持たないデータベースロ
グインIDを付与する
 表ごとにアクセス権限を設定できるデータベース
パスワードやクレジットカード情報などは、特別の表を
作ってサーブレッドからはアクセスできないようにする
13

14. プログラミング対策
String sql = "SELECT * FROM articles A JOIN users U ON U.id=user_id"+" WHERE title LIKE '%" + word +"%' ORDER BY 1";
ResultSet rs = st.executeQuery(sql);
String sql = "SELECT * FROM articles JOIN users ON user_id=users.id"+" WHERE title LIKE ? ORDER BY 1";
PreparedStatement st = con.prepareStatement(sql);
st.setString(1, "%" + word + "%");
ResultSet rs = st.executeQuery();
修正されたコード
言語で用意されているSQLインジェクション対策機能を利用する
Stringの結合ではなく、PreparedStatementクラスのsetStringを使う
（注意）PreparedStatementを使えばいいのではなく、
プレースホルダに値をセットするのにsetStringを使うことで初めて対策になる
特殊文字をエスケープする。ただし、手動ではなく言語ごとに用意されている
PreparedStatementクラスを使う
14

15. ネットワーク側での対策
脆弱性を持つ
Webサーバ
WAF
GET http://hostname/SampleBBS/SearchArticles?word=“sss”
GET http://hostname/SampleBBS/SearchArticles?word=“' UNION SELECT
0,0,name,pass,0,'a','a','a' from users where name like '%”
X
WAFに設定できるポリシー例
HTTPリクエストに”SELECT”が含まれると通信遮断
善良なユーザ
攻撃者
WAFを使う
（WAF：Web Application Firewall :
HTTPの中を見て通信の疎通を判断するファイヤウォール）
15

16. まとめ
 SQLインジェクションとは
 Web画面の入力データにSQL文（の一部）が入力して意図しない動作
を招く攻撃
 SQLインジェクションの脅威
 隠すべきデータの漏洩
 データベースの破壊(DROP文や、DELETE文の混入）
 対策
 データベースアクセス者への適切な権限の付与
 プログラミングにおけるSQL文生成にPreparedStatementクラスを使う
 WAFによるSQL文混入のHTTPリクエストの排除
 総合対策の重要性
 一つの対策では、攻撃側の進歩には追従できない
 現時点で過剰と思われる程度の複数対策が将来の攻撃に有効 16