堂前です

pix@xxxxxxxxxx wrote:
> パラメータのチェックを厳密にし、不要な権限は割り当てない。というのがSQL
> インジェクション攻撃に対する基本的な対策だと思いますが。保険としてさらに
> 取れる事は無いのでしょうか。パラメータのチェックについても新しい手法が
> 見つかる度に対応するのは保守が大変です。アンチウィルスソフトやＩＤＳで
> SQLインジェクション攻撃自体を検出・防御することは可能なのでしょうか。

パラメータのチェックについては、特定の異常な文字列を検出するのではなく
て、「正しく無い文字列は受け付けない」「副作用を起こす可能性がある文字列
はエスケープする」というようにすれば、いちいち個別に対応する必要は無い、
はずです。

ちなみにこの手の問題に対して AntiVirus や IDS は無力です。
# full capture する IDS ならあとから記録を参照できたり、あるいは特定の攻
撃に対する signature を持っていれば、それに限定してなら対応できるかもし
れませんが。

世間には、この手の問題に対して「Webアプリケーション ファイアウォール」な
どというカテゴリの製品が存在します。
各メーカー・ベンダからいろいろ出ていると思いますので、気になるようでした
ら懇意にされている販社にでも相談されてはいかがでしょうか。
# まあ、いろいろありますから

-- 
DON (堂前清隆)
don@xxxxxxxxxx / http://www.don.am/~don/