クラウド型Web脆弱性診断ツール VAddyブログ

- 継続的セキュリティテストへの道 -

Evalインジェクション検査をリリースしました

VAddyは手軽に使えるクラウド型Web脆弱性診断ツールです。

VAddy Advancedプランに「Evalインジェクション検査」を追加しました。

 

Evalインジェクションとは

PHP, Perl, Python, Ruby, JavaScriptなどは、与えたコードを動的に実行できるeval機能があります。

この機能に対して外部からの入力値をそのまま渡している場合は、任意の(悪意のある)コード実行につながります。

 

Evalインジェクション検査

VAddyでは次の理由からEvalインジェクション検査も対応することとしました。

 

Evalインジェクションが検出されると次のような画面が表示されます。「検出理由と対策」をクリックすると脆弱性情報が表示され、「検査リクエストボタン」をクリックすると実際に送信した検査リクエストが表示されます。

Evalインジェクション脆弱性を発見した画面