直接從 request 取得值, 再做簡單的單引號處理, 再串成一組的SQL Command 是不能透過白箱檢測. 目前他還沒檢測的出來 asp 的 vbscript + javascript 同時存在的code, 例如:
<%
Function ezPkAssign(byref op, byval val)
call maxInputSwitch(val)
'// ... vbscript code here
%><script language="javascript" type="text/javascript" runat="server">
function maxInputSwitch(assignValue){
try{
//... javascripe code where
} catch(e){
}
}
</script><%
End Function
%>
我猜, javascript 的部份應該暫時被誤判為 client side 所以沒檢查出來, 也許下一個版本就不能這樣子用.
針對"舊的程式" 暫時...就這樣子先擋一下吧, 之後"新開發的程式" 應該還是要用 parameter 的方式來組合SQL cmd 即可輕鬆過白箱檢測.
沒有留言:
張貼留言