Slide 1
Slide 1 text
ଜ໋, ྗ݈࣍*, দຊ྄հ / ϖύϘݚڀॴ / *ྗ݈ٕ࣍ज़࢜ࣄॴ
2018.09.19 FIT2018 ୈ17ճใՊֶٕज़ϑΥʔϥϜ
WebΞϓϦέʔγϣϯςετΛ༻͍ͨ
SQLΫΤϦͷϗϫΠτϦετࣗಈ࡞ख๏
Slide 2
Slide 2 text
1. ݚڀͷഎܠͱత
2. ैདྷͷϗϫΠτϦετࣗಈ࡞ͷ՝
3. ఏҊख๏
4. ࣮ݧ
5. ·ͱΊͱࠓޙͷ՝
2
࣍
Slide 3
Slide 3 text
1.
ݚڀͷഎܠͱత
Slide 4
Slide 4 text
• WebΞϓϦέʔγϣϯʢWebΞϓϦʣͷ੬ऑੑΛར༻ͨ͠߈ܸ͕ޙΛઈͨͳ͍
• WebαʔϏε͕อ༗͢Δػີใ͕࿙Ӯ͢Δඃ͕ൃੜ
• WebΞϓϦ͕ར༻͢Δσʔλϕʔεʹෆਖ਼ΫΤϦΛൃߦͯ͠ߦΘΕΔ
• ෆਖ਼ΫΤϦͱɼ੬ऑੑ߈ܸʹΑͬͯੜ͡Δ։ൃऀͷఆ֎ͷΫΤϦ
• ෆਖ਼ΫΤϦΛݕ͢Δରࡦ͕ඞཁ
4
ݚڀͷഎܠ
Slide 5
Slide 5 text
• WebΞϓϦ͕ൃߦ͢ΔΫΤϦͷϗϫΠτϦετΛखಈͰ࡞ͯ͠ݕ
• େنͳWebΞϓϦͰൃߦ͞ΕΔΫΤϦ͕େͰɼશͯͷΫΤϦΛѲ
ࠔ
• WebΞϓϦͷվमʹΑͬͯൃߦ͞ΕΔΫΤϦ͕มԽ͠ɼϗϫΠτϦετͷ
ߋ৽͕ඞཁ
• ӡ༻ऀͷෛ୲͕େ͖͍
5
ैདྷͷෆਖ਼ΫΤϦݕํ๏
Slide 6
Slide 6 text
• WebΞϓϦՔಇ࣌ʹൃߦ͞ΕΔΫΤϦΛ༻͍ͯ࡞͢Δख๏
• WebΞϓϦՔಇޙɼଈ࣌ʹෆਖ਼ΫΤϦΛݕͰ͖ͳ͍
• WebΞϓϦͷιʔείʔυΛղੳͯ͠࡞͢Δख๏
• WebΞϓϦͷ࣮ʹґଘ͢ΔͨΊɼ൚༻తʹར༻Ͱ͖ͳ͍
6
ैདྷͷϗϫΠτϦετࣗಈ࡞ख๏
Slide 7
Slide 7 text
• ҎԼͷཁ݅Λຬͨ͢ෆਖ਼ΫΤϦରࡦ
• WebΞϓϦՔಈޙɼଈ࣌ʹෆਖ਼ΫΤϦΛݕͰ͖Δ
• WebΞϓϦͷ࣮ʹґଘ͠ͳ͍
• ෆਖ਼ΫΤϦରࡦಋೖ࣌ͷ։ൃӡ༻ͷӨڹ͕খ͍͞
7
ݚڀͷత
Slide 8
Slide 8 text
2.
ैདྷͷϗϫΠτϦετࣗಈ࡞ͷ՝
Slide 9
Slide 9 text
• WebΞϓϦՔಈதʹൃߦ͞ΕͨΫΤϦΛऩू͠ɼΫΤϦߏʹͯ͠ొ
• ΫΤϦߏͱΫΤϦͷϦςϥϧΛϓϨʔεϗϧμʔʹஔ͖͑ͨͷ
9
WebΞϓϦՔಈதʹൃߦ͞ΕͨΫΤϦΛ༻͍ͨख๏
σʔλϕʔε
8FCΞϓϦ
ΫΤϦ
ϗϫΠτϦετ
8FCΞϓϦՔಇ࣌
4&-&$5'30.VTFST8)&3&JE
4&-&$5'30.VTFST8)&3&JE
Ϧςϥϧ
ΫΤϦߏͷྫ
Slide 10
Slide 10 text
• ϝϦοτ
• WebΞϓϦͷ࣮ʹґଘͤͣϗϫΠτϦετΛ࡞Մೳ
• σϝϦοτ
• ΫΤϦΛऩू͢Δظ͕ؒඞཁͱͳΓɼظؒதෆਖ਼ΫΤϦΛݕͰ͖ͳ͍
• WebαʔϏεͷվमසߴ͘ɼݕͰ͖ͳ͍ظ͕ؒଟൃ
• ϗϫΠτϦετͷ࡞WebΞϓϦՔಈલʹߦ͏ඞཁ͕͋Δ
10
WebΞϓϦՔಈதʹൃߦ͞ΕͨΫΤϦΛ༻͍ͨख๏
Slide 11
Slide 11 text
• ιʔείʔυதͷSQLΛΈཱͯΔॲཧΛղੳ͠ɼൃߦ͞ΕΔΫΤϦύλʔϯ
Λྻڍ
• ྻڍ͞ΕͨΫΤϦύλʔϯΛϗϫΠτϦετʹొ
11
ιʔείʔυղੳΛ༻͍ͨख๏
ղੳث
ιʔείʔυ
ϗϫΠτϦετ
8FCΞϓϦՔಈલ
Slide 12
Slide 12 text
• ϝϦοτ
• WebΞϓϦՔಈޙɼଈ࣌ʹෆਖ਼ΫΤϦͷݕ͕Մೳ
• σϝϦοτ
• ࣮ґଘͳํ๏ͷͨΊɼෳͷWebΞϓϦͰ൚༻తʹར༻ෆՄ
• WebΞϓϦͷ࣮ʹ༷ʑͳݴޠORM*͕ར༻͞ΕΔ߹ɼղੳثͷ
࣮͕ଟذʹΘͨΔ
• WebΞϓϦͷ࣮ʹґଘ͠ͳ͍ํ๏͕ඞཁ
12
ιʔείʔυղੳΛ༻͍ͨख๏ͷϝϦοτɾσϝϦοτ
*Scott W. Ambler, Mapping objects to relational databases What you need to know and why Ronin International, July 2000
Slide 13
Slide 13 text
3.
ఏҊख๏
Slide 14
Slide 14 text
• WebΞϓϦέʔγϣϯςετΛ༻͍ͨΫΤϦͷϗϫΠτϦετࣗಈ࡞ख๏
• ࣗಈςετΛ༻͍ͨ։ൃϓϩηεʹϗϫΠτϦετ࡞ΛΈࠐΉ
• ։ൃϓϩηεͷมߋͤͣɼWebΞϓϦՔಈલʹϗϫΠτϦετ࡞Մೳ
• σʔλϕʔεϓϩΩγͰΫΤϦΛऩू͠ɼϗϫΠτϦετ࡞
• WebΞϓϦͷ࣮ʹґଘ͠ͳ͍
14
ఏҊख๏֓ཁ
Slide 15
Slide 15 text
15
ࣗಈςετΛ༻͍ͨ։ൃϓϩηε
։ൃ
ςετίʔυهड़
αʔόʹஔ
ࣗಈςετ
/P
:FT
ӡ༻։࢝
ςετޭ
w ৽ػೳͷՃ
w طଘػೳͷमਖ਼
w 8FCΞϓϦΛಈ࡞ͤ͞Δखॱͱಈ࡞ͷ݁ՌΛهड़
w ςετίʔυΛݩʹࣗಈͰςετΛ࣮ߦ
w 8FCΞϓϦͷಈ࡞͕༷௨Γ͔Λ֬ೝ
w ςετࣦഊɿ8FCΞϓϦͷιʔείʔυ͘͠
ςετίʔυʹ͋Γ
w ςετޭɿ8FCΞϓϦ͕༷௨Γʹಈ࡞
w ৽͍͠8FCΞϓϦͷιʔείʔυΛαʔόʹஔ
w ৽͍͠8FCΞϓϦͷӡ༻Λ։࢝
Slide 16
Slide 16 text
16
։ൃ
ςετίʔυهड़
αʔόʹஔ
ࣗಈςετ
ʴ
ϗϫΠτϦετ࡞
/P
:FT
ӡ༻։࢝
ςετޭ
w ςετ࣌ʹൃߦ͞ΕͨΫΤϦ͔ΒϗϫΠτϦετΛࣗ
ಈ࡞
w ҎԼΛͦΕͧΕαʔόʹஔ
w ৽͍͠8FCΞϓϦͷιʔείʔυ
w ৽͍͠8FCΞϓϦͷΫΤϦͷϗϫΠτϦετ
։ൃϓϩηεʹ͓͚ΔఏҊख๏ͷҐஔ͚
w ։ൃϓϩηεͷมߋ͕ͳ͍
w ӡ༻։࢝࣌ʹෆਖ਼ΫΤϦΛݕͰ͖Δঢ়ଶ
Slide 17
Slide 17 text
• ΫΤϦͷϦςϥϧΛϓϨʔεϗϧμʹஔ͖͑ͨΫΤϦߏΛొ
• ΫΤϦߏ͕ҟͳΔͷΛݕͰ͖Δ
17
ϗϫΠτϦετͷొ༰
4&-&$5'30.VTFST8)&3&JE
4&-&$5'30.VTFST8)&3&JE ϗϫΠτϦετ
ςετ࣌ʹൃߦ͞ΕͨΫΤϦɿ
ΫΤϦߏɿ
Slide 18
Slide 18 text
18
ϗϫΠτϦετͷݕಛੑ
ςετ࣌ʹൃ
ߦ͞Εͳ͍
ΫΤϦ
શͯͷΫΤϦ
ςετ࣌ʹൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
8FCΞϓϦέʔγϣϯ͕ൃߦ͢ΔΫΤϦ
ςετ࣌ͷΈൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
ෆਖ਼ΫΤϦ
• ఏҊख๏ςετ࣌ʹൃߦ͞ΕͨΫΤϦΛϗϫΠτϦετʹొ
• ςετ࣌ʹൃߦ͞Εͳ͍ΫΤϦͱෆਖ਼ΫΤϦΛݕ
• ͨͩ͠ɼෆਖ਼ΫΤϦͷɼςετ࣌ͷΈൃߦ͞ΕΔΫΤϦݕ͞Εͳ͍
ΫΤϦͷแؔਤ
Slide 19
Slide 19 text
19
ςετՃʹΑΔݕྖҬͷมԽ
ςετΛՃ͢Δ͜ͱʹΑͬͯɼςετ͞Ε͍ͯΔΫΤϦྖҬΛ֦େͰ͖ɼ
8FCΞϓϦ͕ൃߦ͢ΔΫΤϦͷޡݕΛݮͰ͖Δ
ςετ
࣌ʹൃ
ߦ͞Ε
ͳ͍Ϋ
ΤϦ
શͯͷΫΤϦ
ςετ࣌ʹൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
8FCΞϓϦέʔγϣϯ͕ൃߦ͢ΔΫΤϦ
ςετ࣌ͷΈൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
ෆਖ਼ΫΤϦ
ςετ࣌ʹൃߦ
͞Εͳ͍
ΫΤϦ
શͯͷΫΤϦ
ςετ࣌ʹൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
8FCΞϓϦέʔγϣϯ͕ൃߦ͢ΔΫΤϦ
ςετ࣌ͷΈൃߦ͞ΕΔ
ΫΤϦ
ʢϗϫΠτϦετʹొʣ
ෆਖ਼ΫΤϦ
֦େ
Slide 20
Slide 20 text
20
ఏҊख๏ͷઃܭ
σʔλϕʔε
σʔλϕʔε
ϓϩΩγ
8FCΞϓϦ
ϗϫΠτϦετ
• σʔλϕʔεͷલஈʹσʔλϕʔεϓϩΩγΛஔ
• ςετ࣮ߦதΫΤϦΛऩूͯ͠ϗϫΠτϦετ࡞
• WebΞϓϦՔಈதൃߦ͞ΕͨΫΤϦͱϗϫΠτϦετͷর߹͠ɼ
ෆਖ਼ΫΤϦΛݕ
Slide 21
Slide 21 text
4.
࣮ݧ
Slide 22
Slide 22 text
22
࣮ݧڥ
"QQ 1SPYZ42- .Z42-
w BSUJDMFςʔϒϧͷૢ࡞Λߦ͏ϝιουΛ࣮
w ͦΕͧΕͷϝιουͷςετΛهड़
)551 63- ૢ࡞༰
(&5 BSUJDMFT શͯͷBSUJDMFΛදࣔ
(&5 BSUJDMFT UJUMFlz
UJUMFͰݕࡧͯ͠BSUJDMFΛදࣔ
ʢ42-ΠϯδΣΫγϣϯͷ੬ऑੑ͋Γʣ
1045 BSUJDMFT BSUJDMFΛͭ࡞
(&5 BSUJDMFTJE ಛఆͷBSUJDMFΛදࣔ
1"5$) BSUJDMFTJE BSUJDMFΛߋ৽
%&-&5& BSUJDMFTJE BSUJDMFΛআ
BSUJDMF
w UJUMF
w DPOUFOU
w BSUJDMFςʔϒϧʹUJUMFͱDPOUFOU
Slide 23
Slide 23 text
23
࣮ݧڥ
"QQ 1SPYZ42- .Z42-
ProxySQL: https://proxysql.com/
• σʔλϕʔεϓϩΩγʹProxySQLΛ࠾༻
• ProxySQLApp͕ൃߦͨ͠ΫΤϦΛऩू͠ɼΫΤϦߏʹม͠อଘ
• ςετதʹProxySQLͰऩूͨ͠ΫΤϦߏ͔ΒϗϫΠτϦετΛ࡞
Slide 24
Slide 24 text
• ਖ਼ৗͳΫΤϦΛෆਖ਼ͱஅׂͨ͠߹ʢFalse positiveʣΛܭଌ
• WebΞϓϦʹϒϥβ͔ΒखಈͰHTTPϦΫΤετΛૹΓɼͦͷաఔͰൃߦ
͞ΕͨΫΤϦΛऔಘʢΫΤϦछྨɿ17ʣ
• ෆਖ਼ͳΫΤϦΛෆਖ਼ͱஅͰ͖ͳׂ͔ͬͨ߹ʢFalse negativeʣΛܭଌ
• sqlmapΛ༻͍ͯSQLΠϯδΣΫγϣϯ߈ܸΛWebΞϓϦͷݕࡧϑΥʔϜʹ
ߦ͍ɼͦͷաఔͰൃߦ͞ΕͨΫΤϦΛऔಘʢΫΤϦछྨɿ265ʣ
24
࣮ݧ༰
Sqlmap: http://sqlmap.org/
Slide 25
Slide 25 text
• False positiveɿ17.65%ɼFalse negativeɿ0%
• SQLΠϯδΣΫγϣϯ߈ܸʹΑΓൃੜͨ͠ෆਖ਼ΫΤϦΛશͯݕ
• ਖ਼ৗͳΫΤϦͷҰ෦Λޡݕ
25
࣮ݧ݁Ռ
Slide 26
Slide 26 text
• શͯͷ࣮ϝιουʹରͯ͠ςετΛهड़͕ͨ͠ɼFalse positiveൃੜ
• ςετέʔεʹΑͬͯൃߦ͞Εͳ͍ΫΤϦ͕ଘࡏ͠ɼϗϫΠτϦετʹ
࿙Ε͕ੜ͡Δ
• େنͳWebΞϓϦͰ࣮ϝιου͕૿͑ɼޡݕ͞ΕΔΫΤϦ૿େ
• ϗϫΠτϦετʹෆ͍ͯ͠ΔΫΤϦΛิ͢Δํ๏͕ඞཁ
26
False postiveͷߟ
Slide 27
Slide 27 text
• SQLΠϯδΣΫγϣϯ߈ܸʹΑͬͯൃੜͨ͠શͯͷෆਖ਼ΫΤϦΛݕͰ͖ͨɹɹɹɹ
• ϗϫΠτϦετʹςετ࣌ͷΈൃߦ͞ΕΔΫΤϦؚ͕·ΕɼFalse negative
͕ൃੜ͢ΔՄೳੑ͕͋Δ
• SQLΠϯδΣΫγϣϯɼWebΞϓϦ͕ൃߦ͢ΔΫΤϦʹҙͷSQLจΛ
ೖ͢Δ
• ߈ܸʹΑͬͯੜ͡ΔΫΤϦͱςετ࣌ͷΈൃߦ͞ΕΔΫΤϦͷߏ͕Ұக͢
Δ͜ͱগͳ͍
27
False negativeͷߟ
Slide 28
Slide 28 text
5.
·ͱΊͱࠓޙͷ՝
Slide 29
Slide 29 text
• WebΞϓϦέʔγϣϯςετΛ༻͍ͨΫΤϦͷϗϫΠτϦετࣗಈ࡞ख๏
ΛఏҊ
• ఏҊख๏։ൃϓϩηεͷมߋͳ͘ɼWebΞϓϦՔಈલʹϗϫΠτϦετ
࡞Մೳ
• ࣮ݧ݁Ռ͔ΒɼSQLΠϯδΣΫγϣϯ߈ܸʹΑͬͯൃߦ͞ΕΔෆਖ਼ΫΤϦΛ
ݕͰ͖Δ͜ͱΛ֬ೝ
• WebΞϓϦ͕ൃߦ͢ΔΫΤϦͷҰ෦Λޡݕ͢Δ͜ͱΛ֬ೝ
29
·ͱΊ
Slide 30
Slide 30 text
• ϗϫΠτϦετʹෆ͍ͯ͠ΔΫΤϦΛิ͢Δํ๏ͷݕ౼
• False positiveͷܰݮ
• ϗϫΠτϦετʹؚ·ΕΔςετ࣌ͷΈൃߦ͞ΕΔΫΤϦͷରॲํ๏ͷݕ౼
• False negativeͷՄೳੑΛഉআ
30
ࠓޙͷ՝