shikata ga nai

Private? There is no such things.

SQLインジェクションの診断対象についてかいてみた

hello guys!

以前に

 タイトル:『Bad StoreでSQLインジェクション診断対象』

で、SQLインジェクションの診断対象のポイントは。

入力したデータをもとに検索して照合してといった機能っぽい箇所ではないかと。

書いていたかと思いますが。

 

先日の

 タイトル:『MutillidaeⅡで2017>A1>SQLi-Insert Injection>Register』

を実施してみて。

検索や照合もなく、単にインサートだけの機能でも診断対象箇所から外せないかと。

 

 要するにDBへなんらかのアクセスを行う画面は、診断対象だと。

いろんなやられサイトで経験を積んでいくと少しずつ理解も深まるようで。

 

Best regards,

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain