🍇

【セキュリティ】SQLインジェクションとは（備忘録）

2023/02/19に公開

初心者

 １．SQLインジェクションとはSQLインジェクションとは、第三者がSQLコマンドを悪用してデータベースの情報へ不正にアクセスし、情報を搾取や改ざん・削除する攻撃手法を指します。

 ２．実際にやってみた〇検証環境：bWAPP（VirtualBox上に環境構築）　

〇使用ブラウザ：FireFox

 〇手順１．SQL Injection（POST/Search） を選択します。

 〇手順２．・操作内容

　まず、入力フォームに適当な文字列を入力してみます。

　ここでは、Man という文字列を入力してみます。

・実行結果

　３件のデータが戻ってきました。

 〇手順３．・操作内容

　入力フォームに ' を入力してみます。

・実行結果

　使用しているデータベース MySQL が判明しました。

 〇手順４．・操作内容

　入力フォームに Man' or 1=1# と入力してみます。

・実行結果

　登録されている全データが戻ってきました。

!〇入力パラメーターの解説

SELECT Title FROM テーブル名 WHERE Title = 'Man' or 1=1#' を実行したことになります。

①．' ： 1つ前のシングルクォーテーションと対になり、文字列を終わらせます。

②．or 1=1 : 1=1は常にTrueの為、WHERE句の条件も常にTrueになります。

③．# ： #以降コメントアウトされます。

 〇手順５．・操作内容

' UNION select TABLE_NAME FROM INFORMATION_SCHEMA.TABLES #を入力してみます。
・結果

　「カラム数が異なる」というエラーメッセージが戻ってきました。

!〇入力パラメーターの解説

①．' UNION：既存のクエリに追加のクエリを統合しています。

②．INFORMATION_SCHEMA とは、MySQLサーバーに関する情報（メタデータ）が保存されているデータベースです。

INFORMATION_SCHEMA から、全てのテーブル名を取得しようとする攻撃です。

 〇手順６．・操作内容

　カラム数が一致するまで、パラメータを入力してみます。

　ここでは、' UNION select 1,2,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES # を入力してみます。
・結果

　エラーメッセージは表示されなくなりました。

ここから、以下のことが判明しました。
判明したこと
・カラム数は７個
・２番目のカラム名：Title
・３番目のカラム名：Release
・４番目のカラム名：Genre
・５番目のカラム名：Character
!〇入力パラメータの解説

１．数値はカラムを意味します。

２．UNION句を使用する場合、テーブルのカラム数を一致させる必要があります。

 〇手順７．・操作内容

　' UNION select 1,2,TABLE_NAME,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES # を入力してみます。
・結果

　全てのテーブル名を取得することができました。

（テーブルが多いので、全ては掲載しません。。。）

 ３．参考・SQLインジェクションとは

・SQL注入: #1 実装における対策

・INFORMATION_SCHEMAとは

・【Oracle】テーブルの情報を取得するSQL文

 ４．注意この記事で紹介した内容は、独自に用意した検証用サイトに対して行いました。

企業・団体等のサイトに対し攻撃すると、違法行為として処罰される可能性があります。

Discussion

ログインするとコメントできます