SQLインジェクション脆弱性を持つサイトを作ってみた

阿部洸樹

2016.05.12

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

こんにちは。
くコ:彡がトレードマークの阿部です。

先日、セキュリティ製品の評価にあたり脆弱性を持つWEBサイトを用意する必要がありました。
SQLインジェクション脆弱性を持つ簡易的なWEBサイトを作ってみたので、手順をご紹介します。
Amazon EC2でAmazon Linuxを使用しました。

作ってみたWEBサイト

正しい動きその1

早速ですが、作ってみたサイトのご紹介をします。
ユーザIDとパスワードを指定の上、送信ボタンを選択すると、指定したユーザのメールアドレスが表示されます。

正しい動きその2

存在しないユーザや誤ったパスワードを指定した場合、エラーメッセージを表示します。

SQLインジェクション時の動き

SQLインジェクション攻撃を試してみます。
パスワード欄に'OR 'A' = 'Aを指定すると、全てのユーザのメールアドレスが表示されます。
ユーザ情報が漏れてしまった状況を再現出来ました。

LAMP環境の作成

作成手順の紹介に移ります。
チュートリアル: Amazon Linux への LAMP ウェブサーバーのインストールを元に、LAMP環境を構築しました。
チュートリアルを実行するとAmazon Linuxインスタンスに、Apacheウェブサーバ、PHP、MySQLがインストールされます。

Webコンテンツの配置

/var/www/html/以下にWEBコンテンツを配置します。

index.html

ログイン画面となるページです。
フォームを用意し、db.phpに遷移するようにしました。

<html>
  <meta charset="UTF-8">
  <head>
    <title>ログイン画面</title>
  </head>
  <body>
    <form action="db.php" method="post">
      <table>
        <tr>
          <td>ユーザID</td>
          <td><input type="text" name="uid"></td>
        </tr>
        <tr>
          <td>パスワード</td>
          <td><input type="text" name="password"></td>
        </tr>
      </table>
      <input type="submit" value="ログイン">
    </form>
  </body>
</html>

db.php

DB接続を行い、SELECT文を実行するページです。
入力をSELECT文に埋め込んでいます。rootユーザのパスワードは適宜、書き換えて下さい。

<html>
  <meta charset="UTF-8">
  <head>
    <title>ログイン処理</title>
  </head>
  <body>
<?php
$conn = mysql_connect('localhost', 'root', '*******');
$db = mysql_select_db('system', $conn);

$uid = $_POST['uid'];
$pass = $_POST['password'];

$result = mysql_query("SELECT email FROM users where uid='$uid' AND passwd='{$pass}'");
if (mysql_num_rows($result) == 0) {
  echo "ユーザ名または、パスワードに誤りがあります。";
  exit;
}

while ($row = mysql_fetch_assoc($result)) {
  print('email addressはこちらです '.$row['email']);
  print('<br>');
}

mysql_close($conn);
?>
  <a href="index.html">ログイン画面に戻る</a>
  </body>
</html>