CA2100: セキュリティの脆弱性について、SQL クエリを確認してください

TypeName	ReviewSqlQueriesForSecurityVulnerabilities
CheckId	CA2100
分類	Microsoft.Security
互換性に影響する変更点	なし

原因

メソッドに渡された文字列引数から構築された文字列を使用して IDbCommand.CommandText プロパティが設定されています。

規則の説明

この規則では、文字列引数にユーザー入力が含まれていることが想定されています。ユーザー入力から構築された SQL コマンド文字列には、SQL 注入攻撃に対する脆弱性があります。SQL 注入攻撃では、基となるデータベースに被害を与える、または不正にアクセスすることを目的に、悪意のあるユーザーがクエリのデザインを変更する入力を行います。一般的な攻撃方法には、SQL のリテラル文字列区切り文字である単一引用符またはアポストロフィ、SQL コメントを表す 2 つのダッシュ、さらに新しいコマンドが後に続くことを示すセミコロンを挿入する方法などがあります。ユーザー入力をクエリに含める必要がある場合は、攻撃のリスクを少なくするために、次のいずれかの方法を使用してください。これは有効性のある順に並んでいます。

• ストアド プロシージャを使用する。

• パラメーター付きコマンド文字列を使用する。

• コマンド文字列を構築する前に、ユーザー入力の型と内容を検証する。

次に示す .NET Framework の型は、CommandText プロパティを実装するか、文字列引数を使用してプロパティを設定するコンストラクターを提供します。

• OdbcCommand および OdbcDataAdapter

• OleDbCommand および OleDbDataAdapter

• OracleCommand および OracleDataAdapter

• [System.Data.SqlServerCe.SqlCeCommand] と [System.Data.SqlServerCe.SqlCeDataAdapter]

• SqlCommand および SqlDataAdapter

クエリ文字列を作成するために型の ToString メソッドを明示的または暗黙的に使用すると、この規則に対する違反となることに注意してください。例を次に示します。

int x = 10;
string query = "SELECT TOP " + x.ToString() + " FROM Table";

悪意のあるユーザーが ToString() メソッドをオーバーライドできるため、この規則に対する違反となります。

また、ToString が次のように暗黙的に使用されたときにも、この規則に対する違反となります。

int x = 10;
string query = String.Format("SELECT TOP {0} FROM Table", x);

違反の修正方法

この規則違反を修正するには、パラメーター付きクエリを使用します。

警告を抑制する状況

コマンド テキストにユーザー入力が含まれない場合は、この規則による警告を抑制しても安全です。

使用例

この規則に違反しているメソッド UnsafeQuery と、パラメーター付きコマンド文字列を使用したことで規則に適合しているメソッド SaferQuery を次の例に示します。

Imports System
Imports System.Data
Imports System.Data.SqlClient

Namespace SecurityLibrary

   Public Class SqlQueries

      Function UnsafeQuery(connection As String, _ 
         name As String, password As String) As Object 

         Dim someConnection As New SqlConnection(connection)
         Dim someCommand As New SqlCommand()
         someCommand.Connection = someConnection

         someCommand.CommandText = "SELECT AccountNumber FROM Users " & _ 
            "WHERE Username='" & name & "' AND Password='" & password & "'"

         someConnection.Open()
         Dim accountNumber As Object = someCommand.ExecuteScalar()
         someConnection.Close()
         Return accountNumber

      End Function 

      Function SaferQuery(connection As String, _ 
         name As String, password As String) As Object 

         Dim someConnection As New SqlConnection(connection)
         Dim someCommand As New SqlCommand()
         someCommand.Connection = someConnection

         someCommand.Parameters.Add( _ 
            "@username", SqlDbType.NChar).Value = name
         someCommand.Parameters.Add( _ 
            "@password", SqlDbType.NChar).Value = password
         someCommand.CommandText = "SELECT AccountNumber FROM Users " & _  
            "WHERE Username=@username AND Password=@password"

         someConnection.Open()
         Dim accountNumber As Object = someCommand.ExecuteScalar()
         someConnection.Close()
         Return accountNumber

      End Function 

   End Class  

   Class MalaciousCode

      Shared Sub Main(args As String())

         Dim queries As New SqlQueries()
         queries.UnsafeQuery(args(0), "' OR 1=1 --", "anything")
         ' Resultant query (which is always true):  
         ' SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

         queries.SaferQuery(args(0), "' OR 1 = 1 --", "anything")
         ' Resultant query (notice the additional single quote character): 
         ' SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --'  
         '                                   AND Password='anything' 
      End Sub 

   End Class 

End Namespace

using System;
using System.Data;
using System.Data.SqlClient;

namespace SecurityLibrary
{
   public class SqlQueries
   {
      public object UnsafeQuery(
         string connection, string name, string password)
      {
         SqlConnection someConnection = new SqlConnection(connection);
         SqlCommand someCommand = new SqlCommand();
         someCommand.Connection = someConnection;

         someCommand.CommandText = "SELECT AccountNumber FROM Users " +
            "WHERE Username='" + name + 
            "' AND Password='" + password + "'";

         someConnection.Open();
         object accountNumber = someCommand.ExecuteScalar();
         someConnection.Close();
         return accountNumber;
      }

      public object SaferQuery(
         string connection, string name, string password)
      {
         SqlConnection someConnection = new SqlConnection(connection);
         SqlCommand someCommand = new SqlCommand();
         someCommand.Connection = someConnection;

         someCommand.Parameters.Add(
            "@username", SqlDbType.NChar).Value = name;
         someCommand.Parameters.Add(
            "@password", SqlDbType.NChar).Value = password;
         someCommand.CommandText = "SELECT AccountNumber FROM Users " + 
            "WHERE Username=@username AND Password=@password";

         someConnection.Open();
         object accountNumber = someCommand.ExecuteScalar();
         someConnection.Close();
         return accountNumber;
      }
   }

   class MalaciousCode
   {
      static void Main(string[] args)
      {
         SqlQueries queries = new SqlQueries();
         queries.UnsafeQuery(args[0], "' OR 1=1 --", "anything");
         // Resultant query (which is always true):  
         // SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

         queries.SaferQuery(args[0], "' OR 1 = 1 --", "anything");
         // Resultant query (notice the additional single quote character): 
         // SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --' 
         //                                   AND Password='anything'
      }
   }
}

#using <System.dll>
#using <System.Data.dll>
#using <System.EnterpriseServices.dll>
#using <System.Transactions.dll>
#using <System.Xml.dll>
using namespace System;
using namespace System::Data;
using namespace System::Data::SqlClient;

namespace SecurityLibrary
{
   public ref class SqlQueries
   {
   public:
      Object^ UnsafeQuery(
         String^ connection, String^ name, String^ password)
      {
         SqlConnection^ someConnection = gcnew SqlConnection(connection);
         SqlCommand^ someCommand = gcnew SqlCommand();
         someCommand->Connection = someConnection;

         someCommand->CommandText = String::Concat(
            "SELECT AccountNumber FROM Users WHERE Username='", 
            name, "' AND Password='", password, "'");

         someConnection->Open();
         Object^ accountNumber = someCommand->ExecuteScalar();
         someConnection->Close();
         return accountNumber;
      }

      Object^ SaferQuery(
         String^ connection, String^ name, String^ password)
      {
         SqlConnection^ someConnection = gcnew SqlConnection(connection);
         SqlCommand^ someCommand = gcnew SqlCommand();
         someCommand->Connection = someConnection;

         someCommand->Parameters->Add(
            "@username", SqlDbType::NChar)->Value = name;
         someCommand->Parameters->Add(
            "@password", SqlDbType::NChar)->Value = password;
         someCommand->CommandText = "SELECT AccountNumber FROM Users "   
            "WHERE Username=@username AND Password=@password";

         someConnection->Open();
         Object^ accountNumber = someCommand->ExecuteScalar();
         someConnection->Close();
         return accountNumber;
      }
   };
}

using namespace SecurityLibrary;

void main()
{
   SqlQueries^ queries = gcnew SqlQueries();
   queries->UnsafeQuery(Environment::GetCommandLineArgs()[1], 
      "' OR 1=1 --", "anything");
   // Resultant query (which is always true):  
   // SELECT AccountNumber FROM Users WHERE Username='' OR 1=1

   queries->SaferQuery(Environment::GetCommandLineArgs()[1], 
      "' OR 1 = 1 --", "anything");
   // Resultant query (notice the additional single quote character): 
   // SELECT AccountNumber FROM Users WHERE Username=''' OR 1=1 --' 
   //                                   AND Password='anything'
}

参照

概念

セキュリティの概要