新たなIISの脆弱性が発見され、今参画しているプロジェクトでも影響が懸念されたため影響度を調査検討した。

【CSL】CSL緊急注意喚起レポート〓新手のSQLインジェクションを行使するボットの確認〓
http://www.lac.co.jp/info/rrics_report/csl20081002.html

【問題点】
IIS/ASP/ASP.NETにおいては、GETやPOST以外にCookie経由でもパラメータを受け取ることが出来る仕様になっており
GETやPOSTで渡されると期待されている値をGETやPOSTの代わりにCookieを使用して受け渡すことができる。

【検討結果】
今参画しているプロジェクトのシステムでは、
SQLを発行する際にプリペアドパラメータ（@変数）の利用を強制しているためSQLインジェクションの危険性はない。

画面などからの引数を、Request.Paramsの変数から取得して、かつプリペアドパラメータを”使わずに”SQLを発行している
ような箇所があれば危険だ。

なお、ASP.Netでは%に続く文字が16進数表記できない文字列が続いた場合、
%を除去せずにそのままWebアプリケーションに引き渡すため、
SQLインジェクションの問題はASP.Netでは発生し得ないとの記事への追記もあった。