VAddyは手軽に使えるクラウド型Web脆弱性診断ツールです。
VAddy Advancedプランに「Evalインジェクション検査」を追加しました。
Evalインジェクションとは
PHP, Perl, Python, Ruby, JavaScriptなどは、与えたコードを動的に実行できるeval機能があります。
この機能に対して外部からの入力値をそのまま渡している場合は、任意の(悪意のある)コード実行につながります。
Evalインジェクション検査
VAddyでは次の理由からEvalインジェクション検査も対応することとしました。
Evalインジェクションが検出されると次のような画面が表示されます。「検出理由と対策」をクリックすると脆弱性情報が表示され、「検査リクエストボタン」をクリックすると実際に送信した検査リクエストが表示されます。