Hello there, 無料のスキャナーツールはいろいろとありまして。 SkipfishやWapitiなど。 ただ、性能はまちまちで。 ちょっとしたベンチマークテストを見ていると気になるツールもあって。 ZAPの結果は、以下のとおりでして。 Vegaの結果は、以下のとおりで。…

Hello there, A1 ⇨ XML/XPath Injection (Login Form)を選択して。 いつものように『'』を入力して確認すると。 xpath()のエラーが。 SQLインジェクション同様に下記を入力して。 ' or 1=1 or '1'='1 Best regards,

Hello there, A1 ⇨ PHP Code Injectionを選択して。 『message』をして動作を確認して。 URLを以下のように変更してみると。 PHPのコマンドが実行されて。 http://localhost/phpi.php?message=phpinfo() たとえば、動作確認したURLの後に『;』を追加して。 …