Web系のセキュリティ製品を扱っているエンジニア、タニーです。

お客様から「こんなWeb攻撃は止められますか？」といったご質問を頂く事は多いです。
製品サポートを承っている為、恐ろしく当然な話ですね。

マクニカネットワークスの少し特殊な所かもしれませんが、検証環境が共有されることはあまりありません。つまり「自分で使うものは自分で作る（調達する）」が基本です。
その為、単に担当製品の機能を調べるだけでは無く、「Webサーバを自分で作る」、「攻撃してみる（攻撃ツールも必要であれば入手、凄腕エンジニアは寧ろ自作する）」といった事も日常茶飯事です。攻撃者（予備軍？）が多い会社かも知れません。

という事で、今回は簡単な自作検証環境のご紹介です。
アプリケーション構築の専門では無い為、見た目は残念ですが「悪しからず」でお願い致します。笑

■攻撃内容
SQLインジェクション

■環境
攻撃端末 --- ★ --- Webサーバ（内部にSQL構築。メッセージ検索できる）
　★にWAFを設置します。今回は検証環境の準備である為、未設置です。

■実際に攻撃した画面
正常なアクセス（ユーザ名でメッセージ検索して、表示する）



攻撃（SQLインジェクションで、全メッセージを抜き出す）


いやー、知るだけじゃなく、「試してみる」って大切ですね。

ココでは書けませんが、いろんな文字列を試してみました。
思いつく限り攻撃してみて、最悪、Webサイトを壊してもOK。自作ですので。笑

因みに、しっかり作り込む方になると、攻撃対象のWebサーバも綺麗です。

「ぜいじゃく.com」。。。どうなんでしょうね、このネーミングセンス。苦笑
突っ込み所は満載ですが、遊び心も大切って事ですね。完敗です。

では、またの機会に。