VAddyの検査は、SQLインジェクション検査とブラインドSQLインジェクション検査の2パターンがあります。VAddyの中でどう違うのか、どのような検査をするのかを解説します。
SQLインジェクション検査
全てのプランで対応している検査です。SQLインジェクションの有無を確かめる検査データを送ります。実際は、SQL文が壊れるような検査データと、壊れずに動くSQL関数などを送って外部から動作を確認します。
SQLインジェクション検査では、SQL文が壊れるような検査データの時に、HTTPステータスが500(Internal Server Error)や、レスポンスのHTMLにDBサーバのエラー文言が表示されるケースに対応します。
SQL文が壊れていても、HTTPステータスを200で返す、エラー文言が何も表示されないような表面上ではエラーが分からないアプリケーションには対応しておりません。
ブラインドSQLインジェクション検査
上記のSQLインジェクションで発見できないようなアプリケーションにも対応するのがVAddyのブラインドSQLインエジェクション検査です。
SQLのSleepを行う文字列を検査データで送信するため、実際にSQLインジェクションの脆弱性がある場合はHTTPレスポンスの時間がSleep指定の時間だけ遅れます。いくつかの時間のパターンを送ってSQLインジェクションの有無を判定します。
これによって、SQL文が壊れてもHTTPレスポンスが200で返るような表面上では判定が難しいアプリケーションであっても、SQLインジェクションの有無が判定できます。
ブラインドSQLインジェクション検査を行うには、利用しているデータベースの選択が必要になります。設定方法はこちらをご覧ください。
ブラインドSQLインジェクションの検査が実行されません