1. basic sql injection 2. blind sql injection 3. automation tool

1. Blind SQL Injection
概念と自動化ツールについて
セキュリティ分析チーム
文哉雄
2018.03.23

2. 目次
1. Basic SQL Injection
2. Blind SQL Injection
3. Automation Tool
Q & A

3. Basic SQL Injection

4. http://techtweek.com/web-application/blind-or-basic-sql-injection

5. SQL Injectionとは？
• ユーザの入力データをもとにＳＱＬ文を編集してデータベースに
クエリを発行し、その結果を表示する仕組みになっているＷｅｂ
ページにおいて、不正なＳＱＬ文を入力することでデータベース
を操作したり、データベースに登録された個人情報などを不正
に収得したりする攻撃手法
• ＸＳＳと同様に、ユーザの入力データのチェックに不備がある場
合に成立する
ソース : EXAMPRESS 情報処理安全確保支援士２０１７
年版 – 上原孝之 著

6. Trend
• 侵害事故の７５％は、アプリケーション層の事故
• アプリケーション攻撃の中で４５％程度がSQL Injection系

7. ソース: https://www.pentasecurity.com/press-releases/web-application-threat-
trend-watt-report-released-2016-penta-security-systems/

8. 原理
SELECT *
FROM user
WHERE user_id = ‘{user_id}’
AND passwd = ‘{passwd}’;
SELECT *
FROM user
WHERE user_id = ‘’or 1=1 #’;
SELECT *
FROM user
WHERE user_id = ‘’
or 1=1 #
このクエリは、いつもtrueを返す

9. 試演 1.認証バイパス
• http://10.135.179.194:8080/unsafeweb/index.jsp

10. 試演 2. データ不正取得
会員テーブルの内容を収得
• http://10.135.179.194:8080/unsafeweb/index.jsp

11. データ取得手順
1.（準備段階1）SQLインジェクション攻撃が可能な場所を探す。
2.（準備段階2）クエリのカラム数を調べる。
3.現在のDB名を調べる
4.テーブル名を調べる
5.カラム名を調べる
6.データの取得

12. 防御方法
• Binding 機構 (PreparedStatement) 使用
String sql = "SELECT * FROM member "+
"WHERE userid = '" + userid +
"' and passwd = '" + passwd +"'";
String sql2 = "SELECT * FROM member "
+ "WHERE userid = ?"
+ " and passwd = ?";

13. Blind SQL Injection

14. 特徴
1. 一般的なSQL Injectionでデータを奪取するこ
とができないとき使用
2. クエリの結果が真または偽のときの応答だけ
でデータベースの内容を推測可能
3. 一度の成功でデータベースのごく一部の情
報だけを推測可能

15. 試演 .ユーザIDの一部を取得

16. Automation Tool

17. 試演 . Tool紹介

18. 試演
https://github.com/JaewoongMoon/blind-sql-injection

19. 改善点
• 多言語サポート(日本語、韓国語)
• 結果CSV形式ダウンロード
• Unicodeテキスト値を推測機能
• 検索速度の向上 (順次検索 ->バイナリ検索)

20. http://getyouralgorithm.blogspot.jp/2015/10/big-o-notation-simplify-define.html

21. Q & A

22. ありがとうございます！