![ウェブパ[web制作・ホームページ制作]](https://web-pack.jp/wp-content/uploads/2017/05/cropped-header_logo.png){kind=logo}
サイトセキュリティについて(攻撃方法編04)
この記事をシェアする
さて、今回もサイトの攻撃方法についてご紹介していきましょう。
今回ご紹介するのは「sqlインジェクション攻撃」と呼ばれる攻撃方法です。
sqlインジェクション攻撃とは
Web コンテンツ (Web サーバー) から接続しているデータベースサーバーに、管理者・開発者の意図しない特別な細工を施した データベースに関する命令文を入れて処理させる事でコンテンツの改ざんを行います。データベースを直接狙われるので、攻撃者が攻撃に成功するとサイト データの全てを奪えます。動的サイトとよばれるもは、ほぼほぼこのデータベースを利用しており、管理するには管理者画面のログイン画面があるのでこの攻撃方法と向き合う必要があります。
攻撃対象となる場所
主に、ログインページなどで行われます。ワード プレスでは、データベース構造が決まっているため、接頭辞が「wp_」などデフォルトのままで設定しているとすぐに攻撃が成功してしまいます。
対策方法
・エラー文を非表示にする。
エラー文が表示されることで、どこの何を間違っているのかが読み取れてしまいます。作成者にとっては便利機能なのですが、これが穴になってしまうこともあるので非表示にしておくことをおすすめします。
・データベースの名前をわかりにくくする。
先程にも触れましたが、テーブルと言うデータの保管庫の名前を複雑なものに設定しておくと、攻撃者が特定しにくいものとなりますので効果的であると思います。
・パスワードに対して暗号化処理を行う。
ログイン認証の際に入力されたパスワードを文字として処理するのをやめて暗号化して認証を行うことでデータベースへの侵入を防ぐことができる様になったりします。
