SQLインジェクション調査行為の推移

あるSOCでもレポートを出していますが、最近SQLインジェクションを狙った通信が増加しています。攻撃名が浸透してきたからか、ツールの進化も進み、脆弱性調査を行うものが多くなっています。

多くの要求では調査段階で「id=1」などのパラメータに下記のリクエストを追加し、HTTP要求を行っています。

「%20and%201=1」「%20and%201=2」「%20and%20char(124)%2Buser%2Bchar(124)=0」

下図はこのような攻撃件数をグラフ化したものです。これらの要求に対して「200　OK」を返すなどの場合、ツールは更なる攻撃要求を送ってきます。そのため、適切な入出力の管理が行われていない場合、攻撃が成功してしまう可能性があります。

また、ツールによっては「500 Internal Server Error」から追加の要求を行うものもあるため、サーバ側で安易にエラーメッセージを返さないよう、適切に管理することをお勧めします。

By Mudrock