【ITニュース解説】Irish-Name-Repo 2 - picoCTF '19 (web)

このニュース記事は、picoCTF '19というセキュリティコンテストのWeb問題「Irish-Name-Repo 2」の解法について解説している。この問題は、Webアプリケーションに存在するSQLインジェクションの脆弱性を利用してフラグを取得することが目的だ。特に、SQLインジェクション攻撃における基本的な考え方と、特定の状況下での攻撃手法について学ぶことができる。

SQLインジェクションとは、Webアプリケーションがデータベースに問い合わせを行う際に、ユーザーが入力した文字列をそのままSQL文に組み込んでしまう脆弱性を悪用した攻撃手法である。攻撃者は、入力欄に不正なSQL文を注入することで、本来意図されていないデータベース操作を実行させることができる。

今回の問題では、ユーザー名とパスワードを入力するログインフォームが存在し、その認証処理にSQLインジェクションの脆弱性がある。記事では、当初、攻撃者がパスワードパラメータに様々なSQLインジェクションを試みたものの、うまくいかなかったことが述べられている。具体的には、' oR 1=1 -- -のように、常に真となる条件を挿入したり、URLエンコードやコメントアウトを利用して、データベースへの攻撃を試みている。

しかし、最終的な解決策は、ユーザー名パラメータにadmin'--を入力するという非常にシンプルなものだった。この文字列がどのように機能するかを理解することが重要だ。

まず、adminは、データベースから情報を取得したいユーザー名として使用される。次に、'は、SQL文における文字列リテラルを閉じる役割を果たす。これにより、攻撃者が意図的にSQL文を操作できるようになる。最後に、--はSQLにおけるコメントアウトを表す。コメントアウト以降のSQL文は無視されるため、パスワードの入力欄の内容に関わらず、SQL文が正常に実行されるようになる。

具体的に、この攻撃がどのように作用するかを、データベース側のSQL文を想定して説明する。元のSQL文が以下のような形であったと仮定する。

Copy
1SELECT * FROM users WHERE username = '$username' AND password = '$password'

ここで、$usernameと$passwordはそれぞれユーザーが入力したユーザー名とパスワードに置き換えられる変数だ。ユーザー名にadmin'--を入力した場合、SQL文は以下のようになる。

Copy
1SELECT * FROM users WHERE username = 'admin'--' AND password = '$password'

'admin'--の部分に注目すると、最初の'はadminという文字列を囲む引用符を閉じている。そして、--以降はコメントとして扱われるため、残りの' AND password = '$password'はSQL文として解釈されなくなる。結果として、データベースはusername = 'admin'という条件のみでユーザーを検索し、adminユーザーの情報が返されることになる。パスワードのチェックは行われないため、ログインが成功する。

この問題から学べる重要な点は、SQLインジェクション攻撃は必ずしも複雑なSQL文を注入する必要はなく、単純な文字列操作で脆弱性を悪用できる場合もあるということだ。また、Webアプリケーション開発者は、ユーザーからの入力を常に検証し、適切にエスケープ処理を行うことで、SQLインジェクションのリスクを軽減する必要がある。プリペアドステートメント（プレースホルダ）を使用することも有効な対策となる。プリペアドステートメントは、SQL文とデータを分離することで、SQLインジェクション攻撃を防ぐことができる。

さらに、攻撃者が参照しているリソース（PortSwiggerとPayloadsAllTheThings）は、SQLインジェクションに関するより深い知識や、様々な攻撃手法を学ぶための貴重な情報源となる。これらのリソースを活用することで、より効果的な防御策を講じることができるようになる。

この問題を通じて、システムエンジニアを目指す初心者は、Webアプリケーションのセキュリティにおける脆弱性の重要性と、その対策について具体的なイメージを持つことができるだろう。SQLインジェクションは、Webアプリケーション開発において最も基本的なセキュリティリスクの一つであり、しっかりと理解しておく必要がある。