クロスサイトスクリプティングなどへの対応拡張も

ログを基にSQLインジェクションの痕跡を検出、IPAが無償検査ツール

2008/04/18

 情報処理推進機構(IPA)は4月18日、WebサイトにSQLインジェクションの脆弱性が存在するかどうかを検出できる簡易検査ツール「iLogScanner」を公開した。IPAのWebサイトから無償でダウンロードできる。

 iLogScannerは、Webブラウザ上で実行するJavaアプレット形式のプログラムだ。Webサーバのアクセスログを検査し、攻撃によく用いられる文字列を検出する。Webサイトが日頃どのくらいの頻度で攻撃を受けているかに加え、攻撃が成功した可能性についても検出できる。

 解析可能なアクセスログは、IIS5.0/6.0のW3C拡張ログファイルタイプおよびApache HTTP Server1.3系/2.0系/2.2系のcommonタイプ。iLogScanner自体はWindows XP SP2上のInternet Explorer 7で動作する(JRE 5.0以上が必要)。

 今のところiLogScannerで検出可能な攻撃はSQLインジェクションのみだが、今後、クロスサイトスクリプティングやOSコマンドインジェクションなど、ほかの攻撃にも拡大していく計画だ。

 2008年3月より、SQLインジェクションの脆弱性を突いたWebサイトの改ざんが相次ぎ、悪意あるサイトへの誘導するよう狙った攻撃が増加している。この背景を踏まえ、IPAでは、iLogScannerの公開がWebサイトの脆弱性対策を講じるきっかけになることを期待しているという。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間