ASP.NET 1.1を使っているWebサイトに,新たなSQLインジェクション攻撃の可能性が潜んでいることが分かった。セキュリティ・コンサルティング会社であるHASHコンサルティングの徳丸 浩氏が見付けた(HASHコンサルティングが公開した情報)。 同氏が発見したのは,不正なパーセント・エンコードを利用して,IDS/IPS(侵入検知/防御システム)やWebアプリケーション・ファイアウォール(WAF)による検知を回避する手法である。不正なパーセント・エンコードを利用した検知回避については,ラックが2008年10月に公開した「【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~」と題するホワイトペーパーで紹介されている。徳丸氏が発見したのは,その手口の応用版である。 ASP(Active Server Pages)では,「DEC%LARE」のようにパーセン