脆弱性を攻撃してみよう (1) OSコマンドインジェクション (OGNL式インジェクション) - Qiitaはじめに 脆弱性を理解するには、実際に脆弱性を攻撃してみるのが一番です。 といっても、脆弱性のありそうなサイトを見つけて攻撃してみよう!と言っているわけではありません。自分だけが使っている仮想マシンの上で、脆弱性のあるアプリケーションを動かし、攻撃してみることをお勧めします。 脆弱性は、以前紹介したバグだらけのWebアプリケーションにたくさん実装してあります。Webアプリケーションはここからダウンロードして、次のコマンドで起動します。 ※実行するにはJavaが必要です。詳細については、こちらのページを参照して下さい。 このWebアプリケーションは、現時点で以下の脆弱性を実装しています。 XSS (クロスサイトスクリプティング) SQLインジェクション LDAPインジェクション コードインジェクション OSコマンドインジェクション メールヘッダーインジェクション Nullバイトインジェクショ
