SQLiスキャナー

high Nessus プラグイン ID 122584
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートホストはSQLインジェクションに対して脆弱です。

説明

このスキャナーは特別に細工された入力をリモートホストの1つまたは複数のエンドポイントとパラメーターに送信し、SQLクエリに挿入し、リモートホストで任意のSQLステートメントを実行させる可能性があります。

ソリューション

サードパーティ製品を使用している場合は、この脆弱性についてベンダーに通知する必要があります。カスタムWebアプリケーションを使用している場合は、パラメーター化されたクエリを使用するようアプリケーションを更新してください。これにより、攻撃者が特殊文字を挿入して意図されたコンテキストから抜け出しSQL文を実行することを回避できます。

プラグインの詳細

深刻度: High

ID: 122584

ファイル名: sqli_scanner.nbin

バージョン: 1.32

タイプ: remote

ファミリー: CGI abuses

公開日: 2019/3/4

更新日: 2021/10/19

依存関係: command_injection.nbin, directory_traversal.nbin, credit_card_disclosure.nbin, webmirror3.nbin, ssl_supported_versions.nasl

リスク情報

CVSS スコアのソース: manual

CVSS スコアの根本的理由: Sql injection score

CVSS v2

リスクファクター: High

Base Score: 7.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

リスクファクター: High

Base Score: 8.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

脆弱性情報

必要な KB アイテム: Settings/enable_web_app_tests