Scan Results Example (v8.4.1 and up) (jp_スキャン結果のサンプル(v8.4.1以降))

Owned by David P (Deactivated)
Last updated: Nov 29, 2018
1 min read

以下のスキャン結果のサンプル画像は、SQLインジェクションの脆弱性を表しています。

簡潔に説明すると、SQLインジェクションでは、SQLクエリの構文に使用されるユーザ入力値が脆弱性として利用されます。これらの入力値は、ユーザ入力ではなく、SQL構文として処理されることがあるため、任意のユーザがクエリのロジックを変更するような形で、その入力値を操作することが可能です。こうすることで、セキュリティチェックを回避し、システムコマンドを実行するなどして、外部からデータベースを編集できる場合があります。

Queriesパネル(画面左下)には、SQL_Injectionの脆弱性インスタンスが72個、検出されたことが示されています。

をクリックするとAppSec Coachが起動します。このツールを利用することで、選択した脆弱性や、その発生理由および削除方法について、詳しく理解することができます。

AppSec Coach™

AppSec Coachは、脆弱性を修正し、セキュアなコードを作成するために必要なスキルを習得するための新しいインコンテキストラーニングプラットフォームを開発者に提供します。この新しいアプローチによって、AppSecを活用した学習が、より効果的ですぐに内容を理解できる魅力的な体験となります。

現在、すべてのユーザにAppSec Coachの無償の限定バージョンを提供しています。このバージョンでは、以下の機能を搭載したAppSec Coachを無償で利用することが可能です。

  • レッスン: SQLインジェクション(SQLi)、クロスサイトスクリプティング(XSS)、XMLインジェクション(XXE)
  • 言語: Java、.Net、PHP、Node.JS、Ruby、Python

有償版では、20以上のレッスンが提供され、サポート対象の言語が追加されます。

  • レッスン: Session fixation、Use of insufficiently random values、Reflected XSS、Command Injection、DOM XSS、Directory(Path)Traversal、Privileged Interface Exposure、Leftover Debug Code、Session Exposure in URL、User Enumeration、Horizontal Privilege Escalation、Vertical Privilege Escalation、Authentication Credentials in URL、Cross Site Request Forgery(POST)、Cross Site Request Forgery(GET)、Click Jacking、Insecure URL Direct
  • 言語: Scala、C/C++

(?)をクリックすると、SQL_Injectionに関するリスクの詳細、発生原因、脆弱性を回避するための推奨手順や、ソースコードの参考例など、包括的な情報が提示されます。

Resultsパネル(画面右下)で特定の脆弱性インスタンスを選択すると、同パネルの上部にそのインスタンスのコードに関する説明が示され、Pathパネル(画面右上)には、脆弱性インスタンスを構成するコード要素のパスが表示されます。Pathパネルには、ユーザ入力を起点に、SQLクエリまでのすべてのコード要素が示されます。それぞれの要素をクリックすると、Source Codeパネル(画面左上)に、コード内に記述されている、その要素が強調表示されます。そのパス上から、脆弱性を削除する必要があります。



Read more: