SQLインジェクションと推測によるデータマイニング

Transcription

1 SQLインジェクションと 推 測 によるデータマイニング David Litchfield 2005 年 9 月 30 日 An NGSSoftware Insight Security Research (NISR) Publication 2005 Next Generation Security Software Ltd

2 要 約 SQL インジェクション 経 由 でデータ 入 手 を 試 みる 攻 撃 は 3 つに 分 類 できる 帯 域 内 攻 撃 帯 域 外 攻 撃 そして 比 較 的 知 られていない 推 測 攻 撃 である 帯 域 内 攻 撃 は 同 じチャネル 上 でクライアントと Web サーバー 間 でデータの 引 き 出 しが 行 われる たとえば UNION SELECT を 使 って Web ページ 内 に 結 果 が 埋 め 込 まれる 帯 域 外 攻 撃 は たとえ ば データベースのメール 関 数 や HTTP 関 数 を 用 いて データ 入 手 用 に 別 の 通 信 チャネルを 使 用 する 推 測 攻 撃 は 単 独 で 動 作 し 実 際 のデータは 転 送 させずに アプリケーションの 動 作 の 様 子 から 攻 撃 者 がデータの 値 を 推 測 する この 文 書 の 主 題 が この SQL 推 測 である この 文 書 は 2005 年 3 月 の Blackhat Security Briefings in Europe でこのこ とについて 話 した 際 に 書 くことを 約 束 した 文 書 である 遅 くなってしまったが 約 束 を 果 たすことはできた SQL インジェクションとは 何 か? SQL インジェクション 脆 弱 性 は 多 層 構 造 のアプリケーションに 見 られるセキュリティホールの 一 種 で 攻 撃 者 は 既 存 の SQL に 追 加 の SQL を 上 乗 せしてデータベースサーバーを 騙 し 任 意 の 権 限 のない 予 期 しない SQL クエリを 実 行 させることができるものである アプリケーションはふつう( 必 ずしもそうとは 限 らないが)Web サーバーであり ユー ザーからの 入 力 を 受 け 入 れて それを SQLクエリに 埋 め 込 む そのクエリがアプリケーションのデータベースサーバー に 送 られて 実 行 される 攻 撃 者 は 特 定 の 不 正 な 形 式 のデータを 入 力 することで SQL クエリを 操 作 し それを 実 行 さ せて 意 図 されたものとは 異 なる 結 果 を 得 る この 説 明 ではやや 咀 嚼 しにくいかもしれないが 例 を 示 せば 簡 単 に 飲 み 下 せるだろう オンライン 書 店 を 考 えてみよう この 書 店 の Web サーバーで ユーザーは 著 者 名 から 書 籍 を 探 すことができる この 検 索 機 能 は バックエンドのデー タベースサーバーに ユーザーが 著 者 名 として 入 力 した 名 前 を 指 定 して 書 籍 名 一 覧 を 問 い 合 わせることにより 実 装 さ れている この 検 索 機 能 には たまたま SQL インジェクションの 脆 弱 性 がある 攻 撃 者 は 脆 弱 性 を 利 用 して 書 籍 一 覧 の 代 わりに この 書 店 を 利 用 したことがある 全 ユーザーのユーザー 名 パスワード メールアドレス クレジット 番 号 を 返 すようにアプリケーションを 騙 すことができる これは ことさらに 大 げさな 物 言 いをしているわけではない SQL イ ンジェクション 脆 弱 性 に 対 して 攻 撃 を 仕 掛 けるのは 容 易 である バッファオーバーフローといった 問 題 とともに SQL インジェクションはリスクの 観 点 ではトップクラスである 私 は 最 近 このことについて 大 手 データベースソフトウェア 会 社 と 意 見 が 一 致 した 彼 らは 自 らの 提 供 する RDBMS 製 品 につ いて SQL インジェクションの 問 題 をリスクが 低 い 問 題 として 位 置 づけ バッファオーバーフローをより 大 きな 問 題 とし ていた 私 は データベースサーバーのバッファオーバーフローを 悪 用 するには まずファイアウォールを 通 過 しなけ ればならないことを 指 摘 した それを 容 易 に 行 えるのが SQL インジェクションである つまり ファイアウォールは 顧 客 が Web アプリケーションにアクセスできるようにするために インターネットから Web サーバーへの 帯 域 内 での 接 続 を 許 可 せざるを 得 ず アプリケーションに SQL インジェクションの 脆 弱 性 があれば 攻 撃 者 はデータベースにアクセスし てバッファオーバーフロー 脆 弱 性 を 悪 用 することができる しかしここには 意 外 な 結 末 が 待 っている 結 局 データベ ースの 任 意 のデータにアクセスできるのであれば 攻 撃 者 はバッファオーバーフロー 脆 弱 性 の 悪 用 方 法 に 頭 を 悩 ま せたりするだろうか? この 議 論 以 後 その 大 手 データベースソフトウェア 会 社 は SQL インジェクション 脆 弱 性 の 位 置 づ けを 更 新 した SQL インジェクションが 当 然 払 われるべき 敬 意 をもって 扱 われるようになったのは 喜 ばしいことであ る 患 者 数 でいうと データベースサーバーに 接 続 している Web アプリケーションの 60%が SQL インジェクションの 脆 弱 性 を 持 っている この 統 計 は 2003 年 および 2004 年 に クライアントに 対 してセキュリティ 監 査 を 行 った 際 に 脆 弱 性 が 発 見 された 新 しいアプリケーションの 数 に 基 づいている この 数 字 は 恐 ろしいほどに 高 い SQL インジェクションはベンダーに 依 存 しない アプリケーションが Active/Java Server Pages Cold Fusion Management PHP Perl のいずれであっても また Oracle SQL Server DB2 MySQL Informix のいずれであって SQL インジェクションの 脆 弱 性 はありうる もっとも 後 述 するとおり 中 には ほかに 比 べてリスクが 高 いものはある

3 SQL インジェクション 小 史 1998 年 のクリスマスに Phrack 54 が 出 版 された Phrack[1]は コミュニティによって 書 かれた コミュニティのための ハッカーマガジン である セキュリティに 関 する 卓 越 した 技 術 情 報 源 であり 特 にこの 第 54 版 には rfp(rain forest puppy)によって 書 かれた NT Web Technology Vulnerabilities と 題 する 記 事 が 掲 載 されている この 記 事 には 他 の ことも 記 述 されているが SQL インジェクションを 用 いた 多 数 の 攻 撃 について 書 かれている(SQL インジェクションという 用 語 は 用 いられていない) rfp は IDC および Microsoft の Internet Information Server 上 で 動 作 し SQL Server 6.5 にデータを 流 し 込 む ASP アプリケーションについて 論 じている SQL インジェクションをはじめて 公 の 場 に 暴 きだした のがこの 記 事 である 当 時 は SQL インジェクションと 呼 ばれていなかっただけだ 後 にそう 呼 ばれるようになる 次 に 注 目 すべきなのは rfp の 記 事 から 1 ヶ 月 少 し 遅 れた 1999 年 2 月 4 日 に Allaire が 公 表 したセキュリティ 勧 告 [2]であ る セキュリティ 公 報 で Multiple SQL Statements in Dynamic Queries として 提 起 されたセキュリティの 脅 威 が 議 論 さ れている 3 ヶ 月 後 には ふたたび rfp から Matthew Astley との 共 著 による 別 の 興 味 深 い 覚 え 書 きが 出 される それは NT ODBC Remote Compromise [3]と 題 された Access SQL クエリへの VBA コードインジェクションを 論 じた 勧 告 で ここ でも インジェクション という 用 語 は 使 われていない Allaire の 公 報 から 1 年 後 の 1 日 前 2 月 3 日 に rfp は How I hacked Packetstorm A look at hacking wwwthreads via SQL と 題 する 勧 告 を 投 稿 した SQL インジェクションという 用 語 はまだ 表 面 に 出 てこないが rfp はそのような 脆 弱 性 を 悪 用 して 主 だった 攻 撃 を 行 っている Packetstorm は 有 用 なドキュメント エクスプロイトコード スクリプトを 多 数 持 つハッカーサイトである Perl アプリケーション wwwthreads の 欠 陥 を 悪 用 して rfp は 自 分 自 身 を 管 理 者 にすることでデータベースサーバーの 制 御 を 入 手 し 任 意 の SQL を 注 入 することができた その 7 ヶ 月 後 の 9 月 私 は Blackhat Europe で Application Assessments on IIS という 対 談 を 行 い その 中 で SQL インジェクション を 用 いた ASP アプリケーション 経 由 でのデータベースサーバーへの 攻 撃 について 論 じた Chip Andrews が 10 月 23 日 SQLSecurity.com [6]で SQL Injection FAQ を 公 表 した 後 私 はその 論 文 を 公 開 した 私 の 知 る 限 り 最 初 に SQL インジェクション という 用 語 を 使 用 した 公 的 文 書 が Chip のものである しかし SANS [7]が 週 刊 の 公 報 で 同 じ 頃 にその 用 語 を 使 用 しており どちらが 最 初 か 定 かではない 2001 年 4 月 私 はふた たび Blackhat で ODBC エラーメッセージを 利 用 した 遠 隔 からの Web アプリケーションの 分 解 に 関 する 論 文 を 公 表 した[8] この 論 文 では SQLインジェクションを 利 用 してデータベースアプリケーションの 正 確 な 構 造 を 解 き 明 かすこと のできる 新 たな 手 法 をいくつか 紹 介 している 次 の 大 きな 前 進 は 2002 年 1 月 の Chris Anley による Advanced SQL Injection in SQL Server Applications と 題 する 論 文 の 公 表 である[9] これは SQL インジェクションについて 深 く 掘 り 下 げて 論 じた 最 初 の 論 文 である その 2 日 前 Kevin Spett は SQL Injection - Are your web applications vulnerable? を 公 表 し[10] 6 月 には Chris が 時 間 遅 延 からデータにアクセスする 手 法 を 紹 介 した (more) Advanced SQL Injection という 微 笑 ましい 題 の 卓 越 した 論 文 を 公 表 している[11] しばらくの 間 NGSSoftware の 侵 入 テストチームは xp_cmdshell の ping n を 用 いてストアドプロシージャにアクセスできるかを 判 断 していた(アプリケーショ ンが 約 10 秒 間 休 止 するならアクセスできる) Chris はそれを 拡 張 して データを 引 き 出 すのに 使 用 した これが 推 測 攻 撃 の 最 初 の 例 である 2002 年 8 月 Cesar Cerrudo が Manipulating Microsoft SQL Server Using SQL Injection と いう 論 文 を 公 表 し[12] 論 文 とともに DataThief という openrowset 関 数 経 由 でデータを 照 会 できるツールを 提 供 した 2003 年 9 月 の 最 初 の 週 に Ofer Maor と Amichai Shulman は 論 文 Blindfolded SQL injection を 公 表 し[13] 2003 年 9 月 の 終 わりに Sanctum は Blind SQL Injection で 彼 らの 見 解 を 公 開 した[14] Blackhat 2004 で 0x90.org は SQueaL を 公 開 した[15] これは 現 在 Absinthe として 知 られているツールで SQL インジェクション 経 由 で 自 動 的 にデ ータを 照 会 するのに 使 用 できる SQL インジェクションの 進 歩 の 歴 史 をかいつまんで 紹 介 したが これ 以 外 にもさまざ まな 種 類 のデータベースサーバーと 広 範 囲 にわたるアプリケーション 環 境 に 対 するインジェクション 手 法 を 論 じた 論 文 が 多 数 公 開 されてきたことに 留 意 しなければならない まだ 目 を 通 していなければ この 節 で 取 り 上 げた 論 文 を 読 ん でみることをお 勧 めしたい [1] [2] [3] [4] [5]

4 [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] SQL 推 測 によるデータマイニング SQL インジェクション 脆 弱 性 を 悪 用 してデータの 入 手 を 試 みる 方 法 は 帯 域 内 帯 域 外 推 測 の 3 つに 分 類 される 帯 域 内 の 手 法 は 攻 撃 者 とアプリケーションの 間 の 既 存 のチャネルを 用 いてデータを 取 り 出 す たとえば 正 常 な Web ページ 内 にデータを 表 示 させる 手 法 とエラーメッセージに 表 示 させる 方 法 がある 帯 域 外 の 手 法 はクライアントとアプ リケーションの 間 に 新 たにチャネルを 開 く これにはふつう 電 子 メールや HTTP あるいはデータベース 接 続 など 別 のネットワーク 機 能 を 用 いてデータベースサーバーをクライアントに 接 続 させる 方 法 が 含 まれる たとえば SQL Server の OPENROWSET() 関 数 や XP_SENDMAIL プロシージャ Oracle の SYS.UTL_HTTP.REQUEST を 用 いる 手 法 がある 推 測 攻 撃 では 実 際 のデータは 直 接 転 送 されないが アプリケーションからの 応 答 の 違 いを 観 察 す ることで 攻 撃 者 がデータの 値 を 推 測 することができる 質 問 に 対 する 答 えによって 応 答 に 違 いが 生 じるように することで 推 測 を 行 う 推 測 はビット 単 位 で 行 われる(データマイニング(=データの 採 掘 )と 呼 ぶにはあまりに 遅 いの で 私 はこれをデータチッピング(=データの 削 り 取 り)と 呼 んでいる)か または 単 刀 直 入 に パスワードは foobar です か? といった 質 問 を 投 げかけることにより 行 われる 推 測 には 時 間 Web サーバーの 返 すステータスコード 攻 撃 者 が データの 値 を 正 しく 推 測 できる 内 容 の 相 違 などの 特 性 を 利 用 する 推 測 推 測 攻 撃 の 核 心 は 単 純 な 質 問 である この 質 問 への 答 え A なら Y を 行 い B なら Z を 行 う 推 測 に 基 づいた 攻 撃 の 最 初 の 例 は Chris Anley の 卓 越 した 論 文 (more) Advanced SQL Injection に 登 場 する この 論 文 の 中 で Chris は Microsoft SQL Server が 複 数 のクエリをバッチ 処 理 することを 利 用 して 以 下 の Transact-SQL を 注 入 している varchar(8000) = db_name() if (ascii(substring(@s, 1, 1)) & ( power(2, 0))) > 0 waitfor delay '0:0:5' この Transact-SQL ブロックでは データベース 名 の 最 初 のバイトの 最 初 のビットが 1 ならアプリケーションは 休 止 して 5 秒 後 に 応 答 を 返 す そのビットが 0 なら アプリケーションは 即 座 に 応 答 を 返 す アプリケーションが 応 答 にかかる 時 間 を 測 定 することによって そのビットが 1 か 0 かを 推 測 できる SQL インジェクション 経 由 でのデータ 抽 出 に 関 する 限 り これは 大 きな 前 進 である 帯 域 内 攻 撃 帯 域 外 攻 撃 がすべてうまくいかない 場 合 のデータ 取 得 方 法 をはじめて 提 供 し てくれたのだ しかし この 実 装 は SQL Server 上 でしか 動 作 しないし 時 間 遅 延 によっているために 必 然 的 に 動 作 が 遅 くならざるをえない 欠 陥 がある Chris がこれを 公 表 したのは 2002 年 だが それ 以 来 実 質 的 に 進 歩 はしていない 推 測 攻 撃 がどのような 状 況 の SQL インジェクションでも 使 えることから この 状 態 を 進 展 させることは 価 値 のある 研 研 方 針 である CASE 文 を 使 用 すると インラインで 条 件 付 きクエリを 構 築 でき サーバーが 複 数 のクエリをバッチ 処 理 できる 必 要 もな い CASE 文 はほとんどの RDBMS がサポートしている

5 SELECT CASE WHEN condition THEN do_one_thing ELSE do_another END たとえば condition が データの 与 えられたバイトの 最 初 のビットが 1 の 時 5 秒 間 休 止 し そうでなければそのまま 返 る ものだとする しかし なぜ 時 間 遅 延 使 って 自 らの 動 作 を 遅 くしているのだろう? do_one_thing で 何 を 行 い do_another で 何 を 行 うか その 選 択 は 完 全 に 自 由 だ 1 なら 正 常 値 を 返 し 0 ならエラーを 発 生 させてもよい その 場 合 Web サーバーはビットが 1 なら 200 OK の 応 答 を 0 なら 500 Internal Server エラーを 生 成 するだろう ビットが 1 なら たとえば success という 文 字 列 を 0 なら failed という 文 字 列 を 返 すようにしてもよい 都 合 のよいことには も し 本 当 に 必 要 であれば ビットが 1 ならモデムが 故 障 したので 電 話 が 欲 しいというメールを 0 ならモニタが 故 障 したの で 電 話 が 欲 しいというメールを データベースサーバーから 技 術 サポートに 送 信 させることだってできる 数 時 間 後 に 電 話 がかかってきて オペレータがモデムの 故 障 に 関 する 電 話 だと 言 えば ビットは 1 だったと 推 測 できる もちろんこ れはばかげた 話 だが この 例 はわれわれが 推 測 攻 撃 に 関 するイメージに 制 約 されているだけだということを 示 してい る では 実 用 的 な 例 に 集 中 してみよう Web サーバーステータスの 応 答 コードからの 推 測 アプリケーション 定 義 クエリ(Application Defined Query: ADQ)にあるクエリを 注 入 することで Web サーバーにデータ の 値 に 応 じた 応 答 コードを 生 成 させることができる たとえば データのバイトのあるビットが 1 なら 200 を 返 し 0 なら 500 を 返 す ここで 用 いたトリックは コンパイル 時 にはエラーにならず 条 件 分 岐 が 行 われるとエラーになる SQL を 使 用 することである ほとんどのデータベースで 動 作 すると 思 われる 方 法 は 0 で 除 算 した 時 に 生 じるエラーだ ただし MySQL ではビクともしないのでうまくいかない ほかの Microsoft SQL Server Oracle DB2 のようなデータベースで はうまくコンパイルできる Informix は 妙 な 振 る 舞 いをする 0 での 除 算 でエラーになるが ドライバがそれを 反 映 させ ないので 200 を 返 してしまう ほかのデータベースドライバはエラーを 生 成 すので 以 下 のクエリに 対 して 500 を 返 す SELECT CASE WHEN condition THEN 1 ELSE 1/0 END これは condition を 満 たさない 場 合 にのみエラーとなり その 他 の 場 合 クエリは 1 を 返 す この 手 法 は SQL Server Oracle DB2 ではきわめてうまく 動 作 するが MySQL または Informix ではそれほどうまくい かない アプリケーションの 環 境 によっては エラーの 応 答 コードは 500 ではないかもしれない たとえば Oracle Application Server の 比 較 的 最 近 のバージョンで PL/SQL の 場 合 応 答 コードは 404(File Not Found)である これについて 話 を 進 める 前 に 条 件 文 を 置 く 位 置 について 検 討 する 必 要 がある 明 らかに アプリケーションとそ れがどこに 脆 弱 性 を 含 むかによってある 程 度 制 約 されるものの かなり 自 由 度 は 高 い たとえば アプリケーショ ンが 以 下 の ADQ を 実 行 するとしよう SELECT TITLES FROM BOOKS WHERE AUTHOR = $USERINPUT AND PRICE < 10 --を 使 って SQL を 終 了 させ AND PRICE < 10 の 部 分 を 除 外 させることができるだろう + case_query - - しかし 実 際 には ADQがもっと 複 雑 で 括 弧 の 迷 宮 のようだとしたらどうだろうか? もし 自 動 化 したツールで 動 作 する ような 一 般 的 な 手 段 を 探 しているのなら これは 問 題 になるだろう 新 しいアプリケーションごとにたっぷり 時 間 をかけ て うまく 動 作 させるようにしなければならないだろう パラメータを 分 割 し 帳 尻 を 合 わせられる ずっと 信 頼 性 の 高 い 方 法 があるだろう パラメータの 分 割 と 均 衡 以 下 のような Microsoft SQL Server のクエリを 考 えてみる

6 SELECT TITLES FROM BOOKS WHERE AUTHOR = AAA + B + CCC このクエリに 手 を 加 え B をサブクエリの SELECT に 変 更 できなくなはない SELECT TITLES FROM BOOKS WHERE AUTHOR = AAA + (SELECT B ) + CCC この 2 つのクエリは 同 等 である さらに 以 下 のように 変 更 できるだろう SELECT TITLES FROM BOOKS WHERE AUTHOR = AAA + (SELECT SUBSTRING( B,1,1)) + CCC このクエリも 最 初 の 2 つのクエリと 同 等 である そして 以 下 のクエリも 同 じだ SELECT TITLES FROM BOOKS WHERE AUTHOR = AAA + (SELECT SUBSTRING( XYZB,4,1)) + CCC これで 何 を 言 いたいかわかったことだろう サブクエリがあってパラメータが 分 割 されていても 同 じ 一 連 のレコード ( AAABCCC という 著 者 による 全 書 籍 の 題 名 )が 返 されるのだ この 法 則 を 利 用 すると どんなアプリケーションでも 動 作 する 一 般 的 なインジェクションの 方 法 が 得 られる ADQ が 渡 したパラメータを 関 数 内 に 配 置 したとしても SELECT TITLES FROM BOOKS WHERE AUTHOR = UPPER( $USERINPUT ) パラメータを 分 割 し 均 衡 を 保 てば(つまり 括 弧 や 引 用 符 などのつじつまを 合 わせれば)うまく 動 作 することが 保 証 さ れる 数 値 データについても 同 じことが 言 える 以 下 のクエリはすべて 同 等 である SELECT NAME FROM BOOKS WHERE PAGES = 221 SELECT NAME FROM BOOKS WHERE PAGES = SELECT NAME FROM BOOKS WHERE PAGES = (select 1) 1 SELECT NAME FROM BOOKS WHERE PAGES = SELECT NAME FROM BOOKS WHERE PAGES = (select ascii( A ) 65) 入 力 パラメータを 分 割 して 均 衡 を 保 てば クエリは 問 題 なく 動 作 することが 保 証 される この 手 法 はすべてのデータベ ースについて 適 用 できる コンテンツ 操 作 による 推 測 攻 撃 応 答 コードの 操 作 には 大 きな 問 題 がある Web サーバーのエラーログに 200 でない 応 答 が 大 量 に 残 り 優 秀 な Web サーバー 管 理 者 は 必 ずログを 読 む(いや そうあるべきだ!!!)ので 不 適 切 なことが 起 きているとすぐに 気 づくだろう これは コンテンツ 操 作 による 推 測 攻 撃 で 回 避 できる コンテンツ 操 作 ではサーバーの 応 答 コードは 一 定 値 で 変 わ るのは Web ページの 内 容 である 著 者 名 で 書 籍 を 探 せるオンライン 書 店 の 例 に 戻 ろう DICKENS という 著 者 名 を 入 力 したら Web ページ 内 に A Christmas Carol と 表 示 されたとする もし 著 者 名 に DICKEXS と 入 力 したら A Christmas Carol という 応 答 は 得 られない パラメータの 分 割 と 均 衡 を 利 用 して バイトの 指 定 したビットが 1 ならアプリ ケーションに DICKENS の 書 籍 を 検 索 させ ビットが 0 なら DICKEXS を 検 索 させることができる こうすることにより Web ページの 内 容 に A Christmas Carol という 文 字 列 が 含 まれていればビットは 1 見 つからなければビットは 0 であ ると 推 測 できる 例 私 はこの 章 で 意 図 的 に SQL 中 にいくつかの 文 字 を 使 わないようにしてきた というのもあるアプリケーション 環 境 で はその 文 字 が 台 無 しにされてしまうからである この 件 に 関 する 詳 細 は 付 録 A を 参 照 のこと

7 さまざまなデータベースでの CASE 文 さまざまなデータベースで 上 述 の 危 険 な 文 字 を 回 避 した CASE 文 を 見 てみよう この 文 は 入 力 したパラメータを 分 割 し 均 衡 を 保 つために 使 用 するサブクエリとなる 以 下 の ADQ がインジェクションに 利 用 できるとしよう SELECT TITLES FROM BOOKS WHERE AUTHOR= $USERINPUT 通 常 の Web リクエストは 以 下 のようになるだろう 先 頭 には たとえば A Christmas Carol という 題 名 が 返 されるとしよう バックエンドが Microsoft SQL Server であれば パラメータの 分 割 と 均 衡 から 以 下 のようになる + (select case when between 0 and then char(78) else char(88) end) + 'S ここで 思 い 出 しておきたいのは あるビットがセットされているかどうかは 次 のように 調 べられることだ もし byte^bit_position が byte より 小 さければビットはセットされており そうでなければビットはセットされていない したがっ てここでは クエリ の 最 初 のバイトを 1 と XOR した 時 その 値 が 0 からそのバイト 自 身 の 間 かどうか を 調 べている もしそうなら このクエリは 結 局 文 字 N を 意 味 する char(78)を 返 す ビットがセットされていなければ クエリは 結 局 文 字 X を 意 味 する char(88)を 返 す このように ADQ に 組 み 入 れると 最 初 のビットがセットされていれ ば 著 者 が DICKENS の 書 籍 を 検 索 し セットされていなければ DICKEXS の 書 籍 を 検 索 する 返 された 内 容 にテキ スト A Christmas Carol があるかどうか 調 べることで ビットがセットされているかどうかが 推 測 できる そして 1 から と 移 っていくことで 最 初 のバイトのすべてのビットを 調 べることができる そし て substring 関 数 のオフセット 値 を 増 やして から 返 されるデータの 次 のバイトで 処 理 を 繰 り 返 す + (select case when between 0 and then char(78) else char(88) end) + 'S 8 ビットともセットされていないバイトに 来 るまで 各 バイトについてこれを 繰 り 返 す これが NULL ターミネータ つまり データの 終 わりの 役 割 を 果 たしている 言 うまでもなく は 単 一 の 値 を 返 すものであれば 任 意 のクエ リに 置 き 換 えることができる Oracle ではやや 異 なる 文 字 列 データの 場 合 CASE クエリは 以 下 のようになる ' (select case when bitand(ascii(substr((sub-query),the_byte,1)), the_bit) between 1 and 255 then chr(78) else chr(88) end from dual) ' ここで bitand() 関 数 を 使 っていることに 注 意 する パラメータが 数 値 の 場 合 は 以 下 が 使 える + (select case when bitand(ascii(substr((sub-query),the_byte,1)), the_bit) between 1 and 255 then 0 else 1 end from dual) MySQL では 数 値 の 場 合 に 注 入 するクエリは 以 下 のようになる + (select case when (ascii(substring((sub-query),the_byte,1))^the_bit) between 0 and ascii(substring((sub-query),the_byte,1)) then 0 else 1 end

8 文 字 列 パラメータの 場 合 は ' + (select case when (ascii(substring((sub-query),the_byte,1))^the_bit) between 0 and ascii(substring((sub-query),the_byte,1)) then 0 else 1 end) + である もっとも 厄 介 なのは Informix である char 関 数 も chr 関 数 も 存 在 しないので 自 前 で 持 ち 歩 かなければならない ' (select distinct case when bitval((select distinct DECODE((select distinct (substr((subquery), the_byte,1)) from sysmaster:informix.systables),"{",123," ",124,"}",125,"~",126,"!",33,"$",36,"(",40,")",41,"*",42,",",44, "-",45,".",46,"/",47," ",32,":",58,";",59,"_",95," ",92,".",46,"?",63,"- ",45,"0",48,"1",49,"2",50,"3",51,"4",52,"5",53,"6",54,"7",55,"8",56,"9",57,"@",64,"A",65,"B",66,"C",6 7,"D",68,"E",69,"F",70,"G",71,"H",72,"I",73,"J",74,"K",75,"L",76,"M",77,"N",78,"O",79,"P",80,"Q",81,"R",82,"S",83,"T",84,"U",85,"V",86,"W",87,"X",88,"Y",89,"Z",90,"a",97,"b",98,"c",99,"d",100,"e",10 1,"f",102,"g",103,"h",104,"i",105,"j",106,"k",107,"l",108,"m",109,"n",110,"o",111,"p",112,"q",113,"r", 114,"s",115,"t",116,"u",117,"v",118,"w",119,"x",120,"y",121,"z",122,63) from sysmaster:informix.systables),the_bit) between 1 and 255 then 'N' else X end from sysmaster:informix.systables) ' 結 論 推 測 攻 撃 は アプリケーションが SQL インジェクション 脆 弱 性 を 持 つ 限 り アプリケーション 環 境 や アプリケーション に 定 義 されているクエリによらず データ 入 手 を 試 みる 手 段 として 使 用 できる そのため 推 測 攻 撃 はとても 強 力 で 危 険 な 手 法 となっている いつものとおり 最 良 の 防 御 は まずはアプリケーションの 脆 弱 性 をなくすことだ 付 録 A: 特 定 の 文 字 を 回 避 する しばしば SQL インジェクション 攻 撃 を 防 ごうとする 際 ある 文 字 列 が 存 在 すると 入 力 を 拒 否 するアプリケーション が 多 数 ある たとえば 入 力 値 にスペースが 存 在 すると 拒 否 されるかもしれない またある 時 には ある 文 字 が 変 換 さ れるかもしれない たとえば 不 等 号 >と<をそれぞれ>と<に 変 換 して クライアントのクロスサイトスクリプティング 攻 撃 を 軽 減 させているかもしれない ColdFusion はこの 処 理 を 行 っており それ 以 外 に&を&に 二 重 引 用 符 (") を"に 変 換 する 入 力 した SQL にこのような 文 字 が 現 れると 変 換 されてクエリは 失 敗 する ColdFusion と PHP はたいてい 引 用 符 (')を 二 重 化 することが 知 られている 引 用 符 を 回 避 する Microsoft SQL Server に 対 して 実 行 しようとしているクエリが 以 下 のようなものだとする SELECT NAME,ID FROM SYSOBJECTS WHERE NAME = sysobjects しかし 引 用 符 が 除 去 されたり 二 重 化 されてしまうためうまくいかない この 問 題 は SQL Serverの 場 合 sysobjects を 以 下 のよう に 置 き 換 えることで 解 決 できる SELECT NAME,ID FROM SYSOBJECTS WHERE NAME = 0x F A x F A は Unicode 文 字 列 sysobjects の 16 進 表 記 である MySQL でも 同 じ 結 果 が 得 られる root の 代 わりに 0x726F6F74 を 使 用 できる

9 SELECT USER FROM USER WHERE USER = 0x726F6F74 もちろん この 違 いは SQL Server が UNICODE を 使 っているのに 対 し MySQL がそうではない 点 だ CHAR/CHR 形 式 の 関 数 をサポートするデータベースでは これを 使 うこともできる Oracle を 考 えてみよう SELECT PASSWORD FROM DBA_USERS WHERE USERNAME = CHR(83) CHR(89) CHR(83) CHR(83) CHR(89) CHR(83)は SYS と 同 じである Informix は CHAR/CHR 関 数 をサポートしていない スペースを 回 避 する アプリケーションが SQL インジェクション 脆 弱 性 を 持 つものの 入 力 値 にスペースが 許 可 していない 場 合 には さまざ まな 方 法 でこの 問 題 を 解 消 できる もちろん タブ 改 行 制 御 文 字 つまり 一 般 的 な 空 白 文 字 も 許 可 されていない 場 合 には コメント 区 切 り 文 字 /*... */を 使 って 回 避 できる SELECT/*ABC*/COL1/*PQR*/FROM/*XYZ*/TABLE これはほとんどのデータベースで 動 作 する オブジェクト 区 切 り 文 字 を 使 う 方 法 もある たとえば Microsoft の SQL Server では 以 下 のクエリで 動 作 する SELECT[NAME]FROM[SYSOBJECTS]WHERE[NAME]='sysobjects' 同 じ 原 理 で Oracle では 以 下 のクエリが 正 しく 動 作 する SELECT USERNAME FROM SYS. DBA_USERS WHERE USERNAME = SYS MySQL では 以 下 のクエリで 動 作 する SELECT(USER)FROM(USER)WHERE(USER)= root 不 等 号 を 回 避 する 不 等 号 は 問 題 を 起 こす 場 合 があるので WHERE 節 の 中 で 不 等 号 を 使 った 比 較 を 行 っているクエリは 書 き 換 える 必 要 がある 以 下 のようにするのではなく SELECT COL1 FROM TABLE WHERE ID > 10 以 下 のようにする SELECT COL FROM TABLE WHERE ID BETWEEN 10 AND nnn ただし nnn は 上 限 値 である 10 より 小 さい という 条 件 が 必 要 であれば 以 下 のクエリに 置 き 換 えればうまく 動 作 す る SELECT COL FROM TABLE WHERE ID BETWEEN 0 AND 10 &を 回 避 する Microsoft SQL Server と MySQL は ビット 演 算 の AND に&を 使 用 する ビット 操 作 が 必 要 な 場 合 は 適 切 な 代 用 品 を 見 つけ 出 す たとえば 指 定 されたバイトの 下 から 2 ビット 目 を 調 べたいとしよう それは 以 下 のように 書 ける

10 もし THE_BYTE & 2 > 0 ならビットはセットされている セットされていなければ 結 果 は 0 となる しかし &の 使 用 が 許 可 されない 場 合 は XOR 演 算 子 ^を 使 用 できるかもしれない もし THE_BYTE ^ 2 < THE_BYTE ならビットはセットされている そうでなければ 結 果 は 大 きくなる 等 号 を 回 避 する 等 号 を 回 避 することが 必 要 な 場 合 もある 以 下 のようなクエリの 場 合 SELECT COL FROM TABLE WHERE XYZ = 333 以 下 のように 置 き 換 えられる SELECT COL FROM TABLE WHERE XYZ BETWEEN 332 AND 334 文 字 列 データの 場 合 は 等 号 は LIKE を 使 って 置 き 換 えられる