2.4.7.1. SQL Syntax Based Detection の設定¶
WebサーバへのSQLインジェクションについて構文ベースでの検知・ブロックを設定します。
2.4.7.1.1. SQL Syntax Based Detection 設定項目¶
SQL Syntax Based Detection の設定項目は、以下の通りです。
項目 |
値 |
説明 |
|---|---|---|
Name |
(半角英数字) |
ルールの名前を入力します。
日本語など2バイトの文字と次の記号は使用できません。
< > ( ) # ' " スペース(空白)
|
Stacked Queries SQL Injection |
☐ または ☑ |
チェックするとスタックされたクエリ SQL インジェクションの検出を有効にします。
例)
1; delete from users
|
Embedded Queries SQL Injection |
☐ または ☑ |
チェックすると埋め込みクエリの検出を有効にします。
例)
1 union select username, password from users
1 /*! ; drop table admin */
|
Condition Based Boolean Injection |
☐ または ☑ |
チェックすると条件ベースのブール注入の検出を有効にします。
例)
1 /**/OR/**/1/**/=/**/1
1 OR ’abc’=’abc’
case 1 when 2 then '2' end
1 || user_id is not null
|
Arithmetic Operation Based Boolean Injection |
☐ または ☑ |
チェックすると算術演算ベースのブール注入の検出を有効にします。
例)
a'+'b
A'DIV'B
A&B
|
Line Comments |
☐ または ☑ |
チェックすると 行コメント の検出を有効にします。
例)
1"--
1 #abc
|
SQL Function Based Boolean Injection |
☐ または ☑ |
チェックすると SQL関数ベースのブールインジェクション の検出を有効にします。
例)
ascii(substring(length(version()),1,1))
|
Action |
(リストから選択) |
検出したときのルールのアクションを選択します。
|
2.4.7.1.2. SQL Syntax Based Detection 追加¶
- 画面左側から SQL Syntax Based Detection をクリックします。Protection Profile ‣ SQL Syntax Based Detection画面右側の SQL Syntax Based Detection 画面で[+ オブジェクトを追加]をクリックします。
- 設定値を入力して、[保存]をクリックします。設定項目の詳細は、 SQL Syntax Based Detection 設定項目 を参照してください。
- [変更を保存]をクリックして、設定をデバイスへ適用します。
2.4.7.1.3. SQL Syntax Based Detection 変更(編集/複製/削除)¶
- 画面左側から SQL Syntax Based Detection を選択します。Protection Profile ‣ SQL Syntax Based Detection画面右側の SQL Syntax Based Detection 画面で変更対象の行を選択して、操作内容に応じてボタンをクリックします。
SQL Syntax Based Detection の各ボタンの説明です。ボタン
説明
編集
既に設定済みの SQL Syntax Based Detection の値を変更します。
Duplicate
設定されている SQL Syntax Based Detection を複製して、同じ値が入力されたオブジェクト設定画面を開きます。同じような値で別の SQL Syntax Based Detection を定義したいときに便利です。Name は変更する必要があります。行を削除
選択した SQL Syntax Based Detection を削除します。Web Protection Profile で使用中の SQL Syntax Based Detection は削除できません。行を削除する場合、確認メッセージが表示されます。本当に削除する場合は[OK]をクリックしてください。
[変更を保存]をクリックして、設定をデバイスへ適用します。