Webシステムに限らず、SQLインジェクション脆弱性は絶対に作りたくない脆弱性の1つです。裁判でSQLインジェクション対策漏れよる損害賠償が契約金額を上回った事例もあります。
ソースコード検査ならSQLインジェクションが行えないことを保証することが可能です。私の会社ではソースコード検査サービスを提供していますが、これまでに検査証を発行したアプリケーションでSQLインジェクションが問題になった事はありません。
なぜSQLインジェクションが無くならないのか?
SQLインジェクションは、正しいセキュリティ概念と論理で対策すれば不正なSQL文の実行を完全に防止できます。しかし、多くの開発者が不十分な対策を完璧な対策と誤解しています。この誤解が原因で現在でも、多くのアプリケーションにSQLインジェクション脆弱性が残っています。
SQLインジェクション対策保証付きソースコード検査
SQL、LDAP、XPathインジェクションといったデータベースクエリ系のインジェクション脆弱性はソースコード検査によって、網羅的(=全て)に検査可能です。
- サービス名:保証付きソースコード検査
- 保証内容:弊社検査済みのソースコードのSQLインジェクション脆弱性により被害にあった場合、過去18ヶ月分のセキュリティ検査費用を全額返金
- 対象言語: PHP / Python / Ruby / Java / Scala / C#
よくあるセキュリティ検査で、ここまで保証できるサービスは他にあまりないと思います。保証があってもインシデント発生時のサポート程度です。
SQLインジェクションは2017年版OWASP TOP 10でも最初に言及される脆弱性となっています。LDAP、XPathインジェクション対策の保証の必要な場合は追加費用で保証可能です。
SQLインジェクションフリーであることを保証するセキュリティ検査が必要である場合はご検討ください。
