http://bitarts.net/secure/index.php?cmd=read&page=%C0%C8%BC%E5%C0%AD%BC%AD%C5%B5%2F%A5%AF%A5%ED%A5%B9%A5%B5%A5%A4%A5%C8%A1%A6%A5%B9%A5%AF%A5%EA%A5%D7%A5%C6%A5%A3%A5%F3%A5%B0&alias%5B%5D=%A5%AF%A5%ED%A5%B9%A5%B5%A5%A4%A5%C8%A1%A6%A5%B9%A5%AF%A5%EA%A5%D7%A5%C6%A5%A3%A5%F3%A5%B0脆弱性は、アプリケーション関係のセキュリティホールの中でも比較的、外部からの自動処理で検出しやすい脆弱性だ。逆にhttp://bitarts.net/secure/index.php?cmd=read&page=%C0%C8%BC%E5%C0%AD%BC%AD%C5%B5%2FSQL%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3&alias%5B%5D=SQL%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3などは脆弱性が存在していたとしても例外のハンドリングがきちんとできていると外部から検出するのは難しそう。 ということで、とりあえずクロスサイトスクリプティング脆弱性を診断するツールを作り始めています。って、まあすでにhttp://www.parosproxy.orgとかで実現されていることなんだけど、ちょっとレポート出力などに不満があるので自作してみることに。 まずは叩き台を作ってみた。これをベースにクロスサイトスクリプティング以外のセキュリティホールの検査にも対応させて行きたい。

コメント