SQLインジェクションとXSSの最小限の確認ポイント
先日、最小限でしたがセキュリティのテストを実施する機会がありました。
その時に実施したSQLインジェクションとXSS(クロスサイトスクリプティング)のテスト内容と確認ポイントのまとめです。
■SQLインジェクション
- 検索欄に「’ OR ‘a’=’a」と入力。
- 検索結果が0件となることを確認。
■XSS(クロスサイトスクリプティング)
- 登録系の入力欄に「<script>alert(‘a’);</script>」や「<a href=’http://a’>a</a>」と入力し、登録処理を実行。
- 対象の情報が表示される画面でjavascriptでアラートが表示されないことを確認。
- 対象の情報が表示される画面で、画面上にURLリンクが表示されないことを確認。
本当に最小限ですが。良かったらご参考まで。