ユーザー入力を受け取る際に確認すべき文字列のリスト
(github.com)-
いたずら目的でよく使われるものの、システムに入力されると問題を引き起こす可能性がある文字列を、種類別に整理したリスト
-
システムのテスト用途にも利用可能
→ 予約文字列
→ 文字列だが数値であるもの: 1E+02 など
→ Unicodeシンボル / 空白文字列 / 絵文字 などと各種トリック
→ 小文字に変換されると2バイトが3バイトに変わる文字: Ⱥ, Ⱦ
→ Script / SQL / Server Code / XXE などのインジェクション
→ Windowsの特殊ファイル名: CON/PRN/COM1 など
→ 特定のiOSバージョンでクラッシュを起こす文字列
3件のコメント
ここにある文字列の一部をコピーしてそのまま貼り付けるだけでも、インジェクション系の脆弱性のかなり多くをすぐにテストできるんですよね(笑)
@gendohさんの G-Test Pattern https://bit.ly/2XrQVDS を思い出しますね
いくつかの文字列を持ってきてTwitter/Facebookに同じように投稿してみたところ、
Twitterでは通るのに、Facebookではエラーになる文字列がいくつかありますね。
https://twitter.com/xguru/status/1265080289425895424