はじめに Webで入力フォームやAPIなど実装する際に気をつけたいことって色々ありますよね。 フレームワーク使うから安心と思っていませんか?そんなことはありません。 XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)にはフレームワークが対応してくれていることが多いですが、作り方により入力フォームはSQLインジェクション、OSコマンドインジェクションの入り口になってしまいます。 攻撃手法を理解した上で、開発ができるかいなかがエンジニアのスキルのみせどころです。 「彼を知り己を知れば百戦殆うからず」ということで、今回はWindows環境で脆弱性検証の環境作成をしてみました。 イメージは以下です。 環境 Windows 7 Chrome 71.0.3578.98 Proxy SwitchyOmega Version 2.5.20 BurpSuite 手順 Sw