ハッキング手法: SQLインジェクション 攻撃例

こんにちは、hitokiyoshiです

以下に書いてある情報を実際に自分の所有しているWebサイト以外に実行すると不正アクセス法に触れることになります。また当Webサイトは一切の責任を追いません。くれぐれも自己責任でのみ行ってください。

Webサイト環境

MySQL

そもそもSQLインジェクションとは何か

SQLインジェクションとはWebサイトに対して通常のユーザーによる操作では行われないはずのSQL文をWebサイトに実行させデータベーステーブルの改変や機密情報の取得を行います。

攻撃者はどのようにSQLインジェクションを実行するのか

ここが一番面白いポイントでしょう。

例えば、TwitterのようなWebサイトで自分の過去の発言の機能を見ることができるサイトがあったとします。

そこで、自分の発言を検索する検索バーがあるとします。

そこで検索バーに以下のように入力します。

すると指定されたデータベースのテーブルの全データが削除されます。

ユーザーのパスワードを盗み出す

 今度はSQLインジェクションを使ってユーザーのパスワードを盗み出しましょう。

userテーブルが存在すること、またそのuserテーブルにnameとpasswordというカラムがあることを予想して、
検索バーに以下のように入力して検索します。

するとSQL Injectionの脆弱性のあるWebサイトではいとも簡単に他のユーザーの名前とパスワードを取得できてしまいます。

Yellow Lab,Inc.(https://ylwlab.com) という会社で取締役をしています Digital Designerであり、Software Engineerであります 英会話サービスLabis(https://labis.jp) スキルシェアサービスcolligo(https://colligo.jp) を運営しています
サイト https://ylwlab.com
投稿を作成しました 4

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連する投稿

検索語を上に入力し、 Enter キーを押して検索します。キャンセルするには ESC を押してください。

トップに戻る