攻撃者になってみる SQLインジェクション編

このページ内の目次

Web系のセキュリティ製品を扱っているエンジニア、タニーです。
 
お客様から「こんなWeb攻撃は止められますか?」といったご質問を頂く事は多いです。
製品サポートを承っている為、恐ろしく当然な話ですね。
 
マクニカネットワークスの少し特殊な所かもしれませんが、検証環境が共有されることはあまりありません。つまり「自分で使うものは自分で作る(調達する)」が基本です。
その為、単に担当製品の機能を調べるだけでは無く、「Webサーバを自分で作る」、「攻撃してみる(攻撃ツールも必要であれば入手、凄腕エンジニアは寧ろ自作する)」といった事も日常茶飯事です。攻撃者(予備軍?)が多い会社かも知れません。
 
という事で、今回は簡単な自作検証環境のご紹介です。
アプリケーション構築の専門では無い為、見た目は残念ですが悪しからず」でお願い致します。笑
 
■攻撃内容
SQLインジェクション
 
■環境
攻撃端末 --- --- Webサーバ(内部にSQL構築。メッセージ検索できる
 ★にWAFを設置します。今回は検証環境の準備である為、未設置です。
 
■実際に攻撃した画面
正常なアクセス(ユーザ名でメッセージ検索して、表示する)
攻撃(SQLインジェクションで、全メッセージを抜き出す)
いやー、知るだけじゃなく、「試してみる」って大切ですね。
ココでは書けませんが、いろんな文字列を試してみました。
思いつく限り攻撃してみて、最悪、Webサイトを壊してもOK。自作ですので。笑
 
因みに、しっかり作り込む方になると、攻撃対象のWebサーバも綺麗です。
「ぜいじゃく.com」。。。どうなんでしょうね、このネーミングセンス。苦笑
突っ込み所は満載ですが、遊び心も大切って事ですね。完敗です。
 
では、またの機会に。

トップに戻る

関連記事

前へ

[海外出張]2019年キックオフイベントに参加してきました

次へ

流行りの電動スクーターを試す(前編?)

Page Top