前回,ratproxyは受動的なぜい弱性検査ツールだと紹介しました。では,ratproxyを使ってどのようなぜい弱性を検出できるのでしょうか。これは,ratproxyがぜい弱性を検出した際にレポートに出力するメッセージから分かります。このメッセージは42種類あって,ダウンロードしたratproxyのファイル群の一つ,messages.listファイルに記載されています。42種類のメッセージの中には「Adobe Flashファイルの一覧」のような単なるINFOレベルのメッセージも含まれていますが,基本的に42種類のぜい弱性を検出できると考えて良いでしょう。 42種類の多くはクロスサイト・スクリプティング このうち,主要なものを大まかに分類すると,次のようになります。 (1)Content-TypeやCharset指定の誤り(XSSの危険性) (2)write()などのJavaScript関数
![検出できるぜい弱性は42種類,SQLインジェクションは苦手](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)