SQLインジェクション、クロスサイトスクリプティングとは？ Webの主な脆弱性：Webアプリケーションを脅かす5つの脆弱性【前編】

攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。

[Katie Donegan，TechTarget]

　Webアプリケーションの一般的な脅威は、セキュリティの専門家がよく知っているものでもある。なぜそれらの脅威はなくならないのだろうか。原因は、概してIT部門が脅威を防ぐために十分な対策をしていないことにある。本稿が紹介する以下5つのWebアプリケーションの脆弱（ぜいじゃく）性に関する情報を、セキュリティインシデントと潜在的なダメージを防ぐために役立ててほしい。

1. SQLインジェクション
2. クロスサイトスクリプティング（XSS）（会員限定）
3. バッファオーバーフロー（後編で紹介）
4. クロスサイトリクエストフォージェリ（CSRF）（後編で紹介）
5. アクセス制御の不備を突く攻撃（後編で紹介）

併せて読みたいお薦め記事

さまざまなアプリケーション攻撃手法

• 知っておきたい「バッファオーバーフロー攻撃」とは？　主要な4種を紹介
• 「シェルコード」とは？　凶悪なマルウェア感染を可能にする手口
• 意外にセキュリティは甘い？　データベースのデータ保護に不安を感じる理由

アプリケーションへの攻撃を防ぐには

• モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は？
• 7pay事件で再考すべき「Webアプリケーション」のリスクと対策

1．SQLインジェクション

　正規のSQLクエリに悪意ある操作を挿入して、標的のサーバで実行させることを可能にするSQLインジェクションを悪用した攻撃は、たちが悪い脅威だ。機密データ漏えいだけでなく、攻撃者によるシステムへのリモートアクセスと制御を引き起こす。Webアプリケーションの開発とホスティングの外部委託、継続的なセキュリティテストの未実施が、SQLインジェクション攻撃の一因になっている。

　SQLインジェクション攻撃を防ぐには脆弱性診断とペネトレーション（侵入）テストが欠かせない。市販の脆弱性診断製品やソースコード分析製品を使用することで、SQLインジェクションをはじめとするアプリケーションの脆弱性を検出できる。1つのセキュリティ製品で全ての脅威に対処するのは難しいため、複数の製品を使うとよいだろう。

2．クロスサイトスクリプティング（XSS）