[发明专利]脆弱性诊断装置

说明书

技术领域

本发明涉及诊断网站（Web Site）的脆弱性的脆弱性诊断装置。

背景技术

作为对网络服务器（Web Server）的攻击手法之一，存在SQL注入。这是指使用操作数据库的SQL语言，非法地操作网络服务器上的数据库。

例如，以图1这样的系统为例进行说明。网络服务器4准备了图2所示的登陆画面。在终端PC2中，用户输入自己的用户ID和密码，将其发送到网络服务器（参照（1））。在网络服务器4侧，在数据库6中预先记录有用户ID和密码的组合，如果已经记录了与从终端PC2发送来的用户ID和密码的组合一致的内容，则允许访问，发送下一画面（参照（3）～（6））。

如果没有记录过与从终端PC2发送来的用户ID和密码的组合一致的内容，则发送表示不允许访问的画面（参照（3）～（6））。

如上所述，只要没有正确地输入用户ID和密码就不允许访问，以这种方式来管理对网络服务器的访问权限。

在上述处理中，在网络服务器4侧，根据从终端PC2接收到的用户ID和密码，生成用于检索数据库的SQL语句（参照（2））。例如，用户基于图2所示的画面进行输入，从终端PC2送出用户ID（uid）furutani、密码（pwd）1cd45。网络服务器4接收用户ID、密码，根据如下规则附加字符串，生成SQL语句。

SELECT*FROM user WHERE uid='用户ID'AND pwd='密码'

根据该规则，在用户ID（uid）为furutani、密码（pwd）为1cd45的情况下，生成如下SQL语句。

SELECT*FROM user WHERE uid='furutani'AND pwd='1cd45'

网络服务器4将该SQL语句发送到数据库6（参照（3）），从数据库6中取得是否记录有用户ID（uid）为furutani、密码（pwd）为1cd45的用户的判断结果（参照（4））。也就是说，如果记录有用户ID（uid）为furutani、密码（pwd）为1cd45的用户，则“uid='furutani'AND pwd='1cd45'”的逻辑值为“1”，如果没有记录则逻辑值为“0”。

如果返回了逻辑值“1”，则网络服务器4承认该用户的权限而允许访问，如果返回了逻辑值“0”，则认为该用户没有权限而不允许访问（参照（5）（6））。

然而，如果上述这样的生成SQL语句的算法被推测出来，则存在进行如下攻击（SQL注入）的可能。

进行攻击的人从终端PC2输入适当的名字作为用户ID（uid）。例如，输入ueno。作为密码（pwd），进行如下输入。

'OR'A'='A

对于这样的输入，基于上述算法，会生成如下SQL语句。

SELECT*FROM user WHERE uid='ueno'AND pwd=''OR'A'='A'

在该SQL语句中，通常，“uid='ueno'AND pwd=''”的部分为逻辑值“0”（“pwd=''”表示密码为空白的字符串）。但是，由于存在“OR'A'='A'”，且“'A'='A'”始终为逻辑值“1”，进一步通过“OR”进行结合，因此，作为整体，逻辑值必然为“1”。

因此，如果进行了上述这样的输入，则逻辑值始终为“1”，即使是未给出密码的用户，也能够非法地访问。

因此，针对这样的SQL注入，在网络服务器4中采取了排除这样的SQL注入而不允许访问的措施。SQL注入的种类有许多，如果不对全部这些SQL注入采取措施，则不能称作万全之策。

因此，针对网络服务器4是否对于这样的SQL注入存在脆弱性，进行了诊断（参照非专利文献1）。该诊断通过如下方法实现。

首先，对作为诊断对象的网络服务器，进行伴有正确的用户ID和密码的访问。将与该正常访问对应的来自网络服务器的响应记录为正常响应。在该情况下，正常响应是作为允许访问的结果而显示的内容。

接下来，进行基于SQL注入的访问（称作异常访问）。将与该异常访问对应的来自网络服务器的响应记录为异常响应。如果网络服务器装置针对基于SQL注入的攻击不允许访问，则该异常响应是作为不允许访问的结果而显示的内容（例如，错误画面等）。也就是说，在对于SQL注入不存在脆弱性的情况下，正常响应和异常响应为不同的内容。

另一方面，如果网络服务器装置对于基于SQL注入的攻击存在允许访问这样的脆弱性，则该异常响应与正常响应相同。