結果は
大きな被害を受けることが懸念される危険性の高い脆弱性が確認されております。
しかも、その原因は「特殊文字がエスケープされていない」という超基本的な理由。
恥ずかしいこと、この上ない。
エスケープは実施しているのに何でこうなる?。
原因は1か所だった。
入力フォーム中に入力項目以外に、
ページ遷移を管理するための変数を埋め込んでいた。
この変数をエスケープしていなかった。
おかげで、痛烈なメッセージをいただいてしまった。
反省!
だが、よく考えてみるとこの変数はサーバ上のプログラムで生成している。
ユーザ側からこの変数を操作することはできない。
この脆弱性試験、厳しすぎるというか、エスケープしていない項目を機械的にチェックしているだけでは?。
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
