MBSDでWebアプリケーションスキャナの開発等の業務をしている寺田です。 先日、CookieのPrefixについての記事を書きましたが、その中で最初に紹介したのがCookie名のCase(英字の大文字・小文字)の問題でした。Cookie名だけでなく、英字のCaseがWebアプリケーションのセキュリティ上の問題につながることがあります。今回はそういった問題の中でDB(データベース)に関連するものについて書きます。 セキュリティチェックのバイパス まずは、筆者が2020年にベンダに報告したLaravel(6.18.34/7.23.2未満)の脆弱性について紹介します。 Security Release: Laravel 6.18.34, 7.23.2 - The Laravel Blog(CVE-2020-24940) Mass Assignment対策(guarded)とバリデーションのバイ