SQLインジェクション防御ルールの設定

SQLインジェクション攻撃とは何ですか?

SQLインジェクション攻撃で使用される一般的な文字と文字列は何ですか?

• ('
• %27
• \x22
• %22
• char
• ;
• ascii
• %3B
• %2B
• --
• %2D%2D
• /*
• %2F%2A
• */
• %2A%2F
• substring
• drop table
• drop+table
• insert into
• insert+into
• version(
• 値
• group by
• group+by
• create table
• create+table
• delete
• update
• bulk insert
• bulk+insert
• load_file
• shutdown
• union
• having
• select
• declare
• exec
• および
• or
• like
• @@hostname
• @@tmpdir
• null
• is+null
• is not null
• is+not+null
• %3D
• CONCAT
• %40%40basedir
• version%28,user(
• user%28,system_user(
• (,%28,)
• %29
• @
• %40
• cast

一般的なSQLインジェクション防止ルールはどのように機能しますか?

1. アプリケーションからのパケットは分析のためにDeep Security Agentに到着します。
2. 一般的なSQLインジェクション防止ルールはパケットを調べ、以下の表に示されている文字列が含まれているかどうかを判断します。文字列はコンマで区切られ、10のグループに分けられていることに注意してください。
3. 文字列が見つかった場合、スコアが次のように計算されます。

   • 1つの文字列が見つかった場合は、そのグループのスコアが合計スコアになります。
   • 複数の文字列が異なるグループで見つかった場合は、それらのグループのスコアが加算されます。
   • 同じグループに複数の文字列が見つかった場合、そのグループのスコアは一度だけカウントされます。詳しくは、ルールとスコアリングシステムの例をご覧ください。
4. 総合スコアを使用して、Deep Securityは接続を切断するかログに記録するかを判断します。総合スコアが[ドロップ閾値]スコアを超えると、接続が切断され、[ログしきい値]スコアを超えると、ログに記録されます。

注意 トレンドマイクロは頻繁にルールを更新するため、以下の表の文字列はDeep Security Managerのものと完全に一致しない場合があります。

注意 以下の行で '\W' を使用することは英数字以外の文字が続くという意味です。

ルールおよび評価システムの実例

例1: ログに記録され、ドロップされたトラフィック

• 文字列UNION/はスコア2で第4グループに一致します。
• 文字列/*は6番目のグループに一致し、スコアは1です。
• 文字列*/は6番目のグループに一致し、スコアは0です (6番目のグループのスコアはすでにカウントされているため)。
• 文字列SELECT+は2番目のグループに一致し、スコアは2です。

例2: トラフィックのログ/破棄が発生しない

• 文字列UNION/はスコア2で第4グループに一致します。
• 文字列/*は6番目のグループに一致し、スコアは1です。
• 文字列*/は6番目のグループに一致し、スコアは0です (6番目のグループのスコアはすでにカウントされているため)。
• 文字列SELECT+は、4番目のグループに一致し、スコアは0です (4番目のグループのスコアはすでにカウントされているため)。

Generic SQLインジェクション防御ルールの設定

1. Deep Security Managerにログインします。
2. 上部で、[ポリシー]をクリックします。
3. 右側の検索ボックスに1000608を入力します。これはGeneric SQL Injection Preventionルールの数値識別子です。Enterキーを押します。ルールがメインペインに表示されます。
4. ルールをダブルクリックします。
5. [設定]タブをクリックします。上部のテキストボックスにSQLインジェクションパターンが表示されます。
6. SQLインジェクションパターンを最新バージョンに更新してください。まだカスタマイズしていない場合は、最新のパターンに更新するには、[詳細]タブに移動し、[デフォルトSQLパターン]見出しの下のテキストをコピーして、[設定]タブの[SQLインジェクションパターン]テキストボックスに貼り付けます。これで、トレンドマイクロの最新パターンを使用しています。
7. 次のようにフィールドを編集します。

   • [SQLインジェクションパターン]: ここでは、SQLインジェクション攻撃に使用される文字と文字列のリストを指定します。文字と文字列はグループ化され、スコアが割り当てられます。文字列を追加または変更する場合は、適切なエンコーディングを使用してください。詳細については、以下の文字エンコーディングのルールを参照してください。
   • [ドロップ閾値]: ここでドロップスコアを指定します。スコアがこの閾値を超えると接続が切断されます。(スコアがドロップ閾値と等しい場合、接続は維持されます。) デフォルトは4です。
   • [ログしきい値]: ここでログスコアを指定します。スコアがこの閾値を超えると接続がログに記録されます。(スコアがログ閾値と等しい場合、何も記録されません。) デフォルトは4です。
   • [一致間の最大距離]: ここでは、一致がなくスコアが0にリセットされるまでに通過できるバイト数を指定します。デフォルトは35です。

   • 注意 通常のしきい値を超える可能性のあるページやフィールドに対してオーバーライドを作成するには、次の2つのオプションを使用することを検討してください。

   • [デフォルト以外のスコアを持つページ (リソース) をドロップする]: これは特定のリソースに対して[ドロップ閾値]を上書きする場所です。例えば、[ドロップ閾値]が4であるが、アンケートページに対して 8 のドロップスコアを設定したい場合、/example/questionnaire.html:8と指定します。この設定では、/example/questionnaire.htmlは接続が切断されるためには8を超えるスコアが必要ですが、他のすべてのリソースは4を超えるスコアが必要です。各リソースを別々の行に指定してください。
   • [非デフォルトスコアのフォームパラメータをドロップする]: これは、特定のフォームフィールドに対して[ドロップ閾値]または[デフォルト以外のスコアが付いているページ (リソース) をドロップする]フィールドで定義されたしきい値を上書きできる場所です。例えば、[ドロップ閾値]スコアが4であるが、ユーザー名フィールドに対してより高いドロップスコア10を設定したい場合、/example/login.html:username=10と指定します。ここで、/example/login.htmlはユーザー名フィールドが表示されるページのパスと名前に置き換え、usernameはアプリケーションで使用されるユーザー名フィールドに置き換えます。この設定により、接続がドロップされるためにはユーザー名フィールドが10を超えるスコアを持つ必要がありますが、ページ自体は4を超えるスコアで十分です。各フォームフィールドを別々の行に指定してください。
   • [ログしきい値]は、[非デフォルトのスコアを持つページ (リソース) をドロップする]または[非デフォルトスコアのフォームパラメータをドロップする]フィールドで一致があったために接続が切断された場合には有効になりません。例えば、フォームパラメータフィールドを/example/login.html:username=10に設定し、usernameフィールドが11をスコアした場合、接続は切断されますが、このイベントのログは記録されません。
8. [OK] をクリックします。

文字エンコードのガイドライン