■
時間がちょっと出来たのでWebInspectをお試し中。
SQL Injection
とりあえず「'」が含まれていたらエラーメッセージを出すようなCGIを作って試してみた。
エラーメッセージ : 検出結果
ODBC Error : SQL Injectionを検出
Error : 何も検出せず
ORA- : 何も検出せず
Internal Error : 何も検出せず
MySQL Error : 何も検出せず
DataBase Error : 何も検出せず
もしかしてODBCエラーしか引っ掛けてないですか?それとも他の検出方法で引っ掛けてますか?
うーん。
レスポンスを調べる文字列が少なすぎると、結局全ての結果人手でチェックする必要があるのであまりうれしくないんですけど・・・もっとも、他の方法も試しているというのであれば申し訳ないけど、これとログを見る限りそんな感じはしないんですが。
暇があればもう少しきちんと調べるんだけど、無くなってしまった・・・たぶんライセンスが使える間に暇はなさそう。
しかし、こんなこと調べてるけど、結果を見てうれしい人いるのかなぁ?いればまた暇を見つけてやってみるんだけど。