SQLインジェクション脆弱性を持つサイトを作ってみた | DevelopersIOはじめに こんにちは。 くコ:彡がトレードマークの阿部です。 先日、セキュリティ製品の評価にあたり脆弱性を持つWEBサイトを用意する必要がありました。 SQLインジェクション脆弱性を持つ簡易的なWEBサイトを作ってみたので、手順をご紹介します。 Amazon EC2でAmazon Linuxを使用しました。 作ってみたWEBサイト 正しい動き その1 早速ですが、作ってみたサイトのご紹介をします。 ユーザIDとパスワードを指定の上、送信ボタンを選択すると、指定したユーザのメールアドレスが表示されます。 正しい動き その2 存在しないユーザや誤ったパスワードを指定した場合、エラーメッセージを表示します。 SQLインジェクション時の動き SQLインジェクション攻撃を試してみます。 パスワード欄に'OR 'A' = 'Aを指定すると、全てのユーザのメールアドレスが表示されます。 ユーザ情報が漏れ
