« Home | Using an Oracle database link to connect to Excel » | ORASentry » | What is your experience with cursor_sharing? » | Building an Ajax Memory Tree » | Approach 4: Using Regular Expressions » | Oracle Database 10g: Top Features for DBAs Release... » | Project Lockdown 2 » | Build Your Own Oracle RAC 10g Release 2 Cluster on... » | Inserting Custom Messages in Oracle Alert/Trace files » | Virtual Indexes in Oracle »

Oracle SQL Injection Attacks

今日はDonald Burlesonさんの運営する
コンサルティング会社のページをご紹介します。

OracleについてGoogleで調べたことのある方は
この叔父様に既に遭遇している可能性が高いのではないでしょうか。

http://www.dba-oracle.com/resume_don.htm


少なくとも彼の30冊以上に及ぶ著作を書店で
見かけたことはあると思います。

膨大な彼の記事の中から、今回はWeb Applicationの脆弱性に
注意を呼びかけている記事をご紹介します。

記事の内容自体はSQL Injectionに関する話題なので
既にご存知の方は多いかと思いますが、
面白いのは、SQL Injectionを利用してHackingしている
映像が生々しく紹介されていることです。

なんとNorthwestern Universityのユーザ専用ページに浸入しています。

■ Burleson Consulting
http://www.dba-oracle.com/

■ 引用ページ
http://www.dba-oracle.com/t_sql_injection_attacks.htm

_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
記事本文
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Oracle SQL Injection Attacks

This scary must-see video that shows a real-world
SQL injection attack and it's frightening how fast
they can break into a allegedly secure database.
It's even more frightening that someone would
publish step-by-step instructions where the
criminals can see them.

_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
英語の語順に近い解釈
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
◆ Oracle SQL Injection Attacks
Oracle SQL注射攻撃

This scary must-see video
この恐ろしい必見のビデオ

that shows a real-world SQL injection attack
それは現実世界のSQL injection attackを表現しています。

and it's frightening
そしてそれは恐ろしいです

how fast they can break into a allegedly secure database.
どれだけ早く彼らが侵入できるか、セキュアだと思われているDBに

It's even more frightening
さらに恐ろしいことに

that someone would publish step-by-step instructions
誰かが発行することです 詳細な手順説明を、

where the criminals can see them.
犯人がそれらを参照可能な場所に

_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
単語解説
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

Injection = 注射、注入
scary = 恐ろしい
must-see = 必見の
frightening = 恐ろしい
allegedly = 証拠なしに主張されている
secure = 安全な
step-by-step = 1つ1つ順を追った
instruction = 教えること
criminal = 犯人

_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
解説
_________________________
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
SQL InjectionとはWEBページ上のパスワード欄などに
パスワードと見せかけたSQLの条件文などを組み込むことで
Application誤動作を誘う手法です。

例えばパスワード欄に「aaaaa' or '1'='1」と入れた時に
WEBアプリのSQLが単純に
select * from gokuhi_table where user='&user' and pass='&pass';
となっていたらどうなるでしょうか。
select * from gokuhi_table where user='yakusa' and pass='aaaaa' or '1'='1';
全てのデータにアクセスできてしまうのです。

既に5年以上前から警告は続いていますが、
未だに対策が施されていないWEBアプリはたくさんあるそうです。
対策方法としては、パスワード指定内容に「=」や「'」が
含まれていないかチェックしたり、
実際のパスワードは変換を施して格納しておき、
比較する際もWEBから入力された内容を変換してから比較するなど
一工夫するだけで安全性は飛躍すると思います。

ちなみにこれはWEBだけでなく、ユーザからの入力内容が
検索条件につながるアプリケーション全てに共通する考慮事項ですね。
WEBよりは減るかもしれませんが、昨今は社内にだって
悪意のあるアクセスするないとは限りません。

このセキュリティホールはOracleのパッチをいくら
最新にしても改善されないものなので、
みなさんも自分の開発したアプリが原因でWEBサイトを
閉鎖に追い込んだり、個人情報流出の元凶になったり
するような自体だけは避けるように気をつけましょう。

こんばんわ。ひーらぎです(遊びにきました♪)実は情報処理のSVを受けようと思ってまして、SQLインジェクションをちょっと勉強しましたよ。DBは全くの初心者ですが、セキュリティの勉強をしていると面白いですねぇ~。なにかの本で、入力文字の最後を--にしてコメントにするとテーブルをDELETEできる!みたいなのを見たことがあります。おそるべし、SQLインジェクション♪

ひーらぎさん。遊びに来ていただきありがとうございます。SQLインジェクション恐ろしいですね。私もこれを知ってからは色々なサイトで--を入れてみたくてうずうずしてしまうのですが、逮捕されたくないので我慢してます(^-^;試験頑張ってください!

コメントを投稿

About me

  • I'm yaksa
  • From Tokyo, Japan
My profile
にほんブログ村 IT技術ブログへ

blogRanking