データベースエンジニアが行く

脆弱性試験の結果レポートを見ると

リクエストを修正（不正なコードを埋め込み）した内容とそのレスポンスが記載されている。

レスポンスには、あってはならない結果が含まれているのだが、

同時にどうやったらこのようなコードの埋め込みができるのだろうと考えた。

何年も前にそのようなツールをPCにインストールした記憶があるのだが、

そのPCはすでにない。

Webを検索して、Fiddler というツールを見つけた。

同種のツールは他にもあったが、これが一番簡単そうだった。

補足）このようなツールをローカルプロキシーツールと呼ぶらしい。

Fiddler をダウンロード、インストールしてみた。

参考）　https://qiita.com/taketakekaho/items/397bc6e9afa32329edd0

POST送信をブレークして、結果レポートに記載されているとおりに修正して、

再実行すると、レポートと同じ結果が返ってくる。

脆弱性試験を再現できるようになったので、対策を考えるのが容易になった。