コマンドインジェクション

Webアプリケーションのセキュリティチェックの面倒なところは、あまりにもテストケースが多いことだったりする（単に上記のセキュリティチェックリストにある様なパターンを投げつけて結果を保存するツールは作ったんだけど、チェックするパターンがあまりにも多すぎてチェックに挫折してたりする）。で、AppScan等のツールを使ってテストすることになるのだけどここにも問題があったりする。
それが、脆弱性がある場合の応答が一意でないのでシステム的に決めてしまうのが難しいということであったり、もっともXSSの場合はHTTP応答だけを見て正規表現でチェックすればよいので楽なんだけど。コマンドインジェクションやSQLインジェクションの場合はHTTPの応答だけでは不可能なのでScaner側でサービスポートを待ち受けて攻撃が有効だったらアクセスに来る様なことをしてやればいいかなぁと思っていたら、すでに最新のAppScan（日本語版じゃないよ）ではそういう仕様っぽいし・・・やられたorz。
http://www.watchfire.com/news/releases/10-12-04.aspx
でも、これもSQLインジェクションに関してはSQLから任意のホストに対してネットワークアクセスができないと意味がないんだけどねぇ。