XSS & SQLインジェクションチェックツール

自分のサイトにXSSやSQLインジェクションが無いか、簡単にチェックするためのツールが無いか調べてみました。

XSS

そもそもXSSとは?

XSSとはross Site Scripting(クロスサイトスクリプティング)のことで、
ソフトウェアのセキュリティホールの一つです。
Webサイトの訪問者の入力をそのまま画面に表示するなどのプログラムが、
悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のことです。

XSSのチェックツール

初心者でもわかりやすくて、簡単にしらべられるのはこちら。
https://addons.mozilla.org/ja/firefox/addon/xss-me/

ブラウザFirefoxのアドオンです。
アドオンを起動して、対象ページを表示し、
「Test all forms with all atacks」というボタンを押すだけ。
とっても簡単です。

SQLインジェクション

そもそもSQLインジェクションとは?

SQLインジェクションとは、データベースと連動したWebサイトで、
データベースへの操作を行うプログラムにパラメータとしてSQL文の断片を与えることにより、
データベースを改ざんしたり不正に情報を入手する攻撃。
また、そのような攻撃を許してしまうプログラムの脆弱性のことです。

SQLインジェクションのチェックツール

初心者でもわかりやすくて、簡単にしらべられるのはこちら。
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/

ブラウザFirefoxのアドオンです。
そうさ方法はXSS MEと同じです。
アドオンを起動して、対象ページを表示し、
「Test all forms with all atacks」というボタンを押すだけ。
とっても簡単です。

IPAのSQLインジェクション検出ツール

ちょっと難易度が上がりますが、
IPA(情報処理推進機構)の用意してくれている。
ツール『iLogScanner』を使用すると、
Apacheなどのウェブサーバのログから、
実際に攻撃されたかどうか、確認することができます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>