攻撃者になってみる SQLインジェクション編

このページ内の目次

Web系のセキュリティ製品を扱っているエンジニア、タニーです。

お客様から「こんなWeb攻撃は止められますか?」といったご質問を頂く事は多いです。
製品サポートを承っている為、恐ろしく当然な話ですね。

マクニカネットワークスの少し特殊な所かもしれませんが、検証環境が共有されることはあまりありません。つまり「自分で使うものは自分で作る(調達する)」が基本です。
その為、単に担当製品の機能を調べるだけでは無く、「Webサーバを自分で作る」、「攻撃してみる(攻撃ツールも必要であれば入手、凄腕エンジニアは寧ろ自作する)」といった事も日常茶飯事です。攻撃者(予備軍?)が多い会社かも知れません。

という事で、今回は簡単な自作検証環境のご紹介です。
アプリケーション構築の専門では無い為、見た目は残念ですが「悪しからず」でお願い致します。笑

■攻撃内容
SQLインジェクション

■環境
攻撃端末 --- ★ --- Webサーバ(内部にSQL構築。メッセージ検索できる)
 ★にWAFを設置します。今回は検証環境の準備である為、未設置です。

■実際に攻撃した画面
正常なアクセス(ユーザ名でメッセージ検索して、表示する)



攻撃(SQLインジェクションで、全メッセージを抜き出す)


いやー、知るだけじゃなく、「試してみる」って大切ですね。

ココでは書けませんが、いろんな文字列を試してみました。
思いつく限り攻撃してみて、最悪、Webサイトを壊してもOK。自作ですので。笑

因みに、しっかり作り込む方になると、攻撃対象のWebサーバも綺麗です。

「ぜいじゃく.com」。。。どうなんでしょうね、このネーミングセンス。苦笑
突っ込み所は満載ですが、遊び心も大切って事ですね。完敗です。

では、またの機会に。

トップに戻る

関連記事

前へ

[海外出張]2019年キックオフイベントに参加してきました

次へ

流行りの電動スクーターを試す(前編?)

Page Top