SQLインジェクション対策はおすみですか?
開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、
脆弱性発見後の適切な対策まで
トップ 最新 追記
過去の日記

2007-06-04 本格運用開始

tDiary: html_anchorを導入

yyyymmdd.htmlでアクセスできるようにしたかったので、html_anchorを導入したはよかったけど、.htaccessでActionディレクトティブではまってしまった。これ、mod_actionsが導入されていないと駄目なのね。考えてみれば当たり前なのだけれど、「mod_actionsが導入されていることを確認せよ」と指示されてなかったので、試行錯誤してしまった。結局、Actionディレクティブをあきらめて(共用レンタルサーバーなので)、ErrorDocumentディレクティブに変更して、こちらはあっさりと動きました。
うーむ。

まぁ、ErrorDocumentとActionの二つが書いてあって、ErrorDocumentのデメリットは書いてあったけど、Actionのデメリットは書いてなかった。二つの方法があるなら、メリットとデメリットがあるはずとぼんやり感じていてた「変だなぁ」のだけど、そこらを突っ込まなかったのが悪いのですね。

とはいえ、これで、はてなダイアリーからの移行が可能になった・・・と思っています。だって、「?date=yyyymmdd」だと、全然検索エンジンに登録されないようですしね。

[ツッコミを入れる]
TrackBack(0)

2007-06-05 はてなダイアリーから転載

Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題

Firefox2.0.0.4でも直ってないですね。

ockeghem(徳丸浩)の日記 - Firefoxのパスワード・マネージャの脆弱性その後

Firefoxユーザーがクロスサイト・スクリプティングXSS脆弱性のあるWebサイトパスワードを記憶させている場合には,細工が施されたリンクをクリックするだけでそのパスワードを盗まれる恐れがある

直す方法はあると思うんだがなぁ。勝手に全自動でパスワード補完しないで、Operaみたいに一回キーを叩かせるだけでも、インパクトはかなり緩和されると思います。

まぁ、サイト側にXSS脆弱性がなければ上記は発動しないので、「けっ、サイト側の問題ジャン。XSSくらい直せよ」と思っているんだろうね>Mozilla中の人

だけど、XSSのあるサイトなんて山のようにあるよ。それも、はせがわさん(id:hasegawayosuke)の指摘するようなマニアックなやつでなくて、ごく単純なXSS

とりあえずは、

ということで自衛しましょう。

[ツッコミを入れる]
TrackBack(0)

2007-06-14 変数に型のない言語におけるSQLインジェクション対策に対する考察(4)

SQLの「暗黙の型変換」で実行速度が遅くなるのはどのような場合か

数値リテラルをシングルクォートで囲むことの是非にて、「変数に型のない言語」(Perl、PHP、Rubyなど)で数値項目に対するSQLインジェクション対策について検討した。その際に、数値リテラルを文字列リテラルとしてシングルクォートで囲む(中の値はエスケープする)という方法を紹介した上で、文字列型から数値型への「暗黙の型変換」により、SQLの実行が遅くなる可能性を指摘した。
 この情報は、ネット上で検索すればすぐに見つかるものであるが、私自身試したことはなかった(なにせ暗黙の型変換などやりたくないクチなので)。
 しかし、実験もせずに「SQLの暗黙の型変換はパフォーマンスが劣化する」と断言するのもエンジニアとしてどうかと思い、簡単なサンプルで実験を行ってみた。
 実験には、Oracle Database 10g Express Editionを使用して、TKPROFユーティリティにより測定を行った。ただし、データ量が1万件しかないので実行速度については有意な差が出なかったので、インデックスの利用有無により間接的な判定を行った。
 結論から言えば、SQLインジェクション対策時に発生する「暗黙の型変換」については、パフォーマンスは低下しないようである。
 「暗黙の型変換」でパフォーマンスが低下する場合は確かに検証できたが、

文字列型の列と数値リテラルに対する演算

の場合であった。具体的には、以下のような場合である(DOC_IDは文字列型とする)。

SELECT * FROM HOGE WHERE DOC_ID = 123

この場合、すべてのDOC_IDを数値に変換しながらWHERE句が実行されるため、インデックスを使用することができずにパフォーマンスが低下する。
一方、DOC_NIDが整数型だとして、

SELECT * FROM HOGE WHERE DOC_NID = '123'

の場合は、まず'123'を整数型に変換してから検索実行されるので、インデックスが有効活用される。すなわち、パフォーマンス低下はない。
SQLインジェクション対策にあらわれる「暗黙の型変換」は後者のパターンであるため、SQLインジェクション対策に限って言えば、パフォーマンス低下は認められなかった。

しかしながら、このような実験を行うとともに、この問題に対する考察を深めた結果、やはり数値リテラルをシングルクォートで囲むというやり方には問題があると思う。その内容については稿をあらためて説明したい。

[ツッコミを入れる]
TrackBack(1)
SQLインジェクション対策はおすみですか?
開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、
脆弱性発見後の適切な対策まで
トップ 最新 追記

徳丸浩の日記

ockeghem(徳丸浩)の日記はこちら
HASHコンサルティング株式会社
43395

カレンダー

過去の日記
2007年
6月
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

最近の記事

2008-10-29

1. 書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性

2008-10-14

1. 書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性

2008-08-22

1. 今こそXSS対策についてまとめよう

2008-08-20

1. プログラミングではホワイトリスティングが基本ではない

2008-08-19

1. session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能

2008-08-18

1. PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性

2008-07-22

1. 三重苦を乗り越えてWAFが普及するための条件とは

2008-07-16

1. ホワイトリスト方式の優位は神話

2008-06-27

1. SQL Serverが狙われるにはまだまだ理由がある

2008-06-02

1. SQLエスケープにおける「\」の取り扱い

2008-06-01

1. SQLのエスケープ再考

2008-05-02

1. SQL Serverが狙われるには理由がある

2007-12-10

1. 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策

2007-12-06

1. うまく動いてないようですが

2007-12-05

1. ツッコミSPAMフィルタを1バイトバージョンアップした

2007-11-26

1. DNS Rebinding

2007-09-24

1. 数値項目に対するSQLインジェクション対策のまとめ

2007-09-15

1. ループやswitch以外のブロックを脱出するbreak

2007-09-09

1. アプリケーションの先頭で行う入力値検証は業務要件により行うべし

2007-09-05

1. Webアプリケーション脆弱性対策としての入力値検証について

2007-08-29

1. Twitterのクロスサイト・スクリプティング(XSS)対策は変だ

2007-08-21

1. 画像版サニタイズ言うな(2)

2007-08-07

1. 画像版サニタイズ言うな

2007-07-24

1. 書評 - ウェブアプリケーションセキュリティ

2007-07-17

1. JavaScriptを埋め込んだ画像を作ってみました

2007-07-16

1. 再開しました

2007-06-14

1. SQLの「暗黙の型変換」で実行速度が遅くなるのはどのような場合か

2007-06-05

1. Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題

2007-06-04

1. tDiary: html_anchorを導入

2007-05-31

1. IEEE754のとりうる整数の範囲

最近のツッコミ

Generated by tDiary version 2.0.4
Powered by Ruby version 1.8.6