トップ «前の日記(2007-08-30) 最新 次の日記(2007-09-13)» 編集

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-09-07

_ [webappsec][tool][audit] Cross Site Scripting Scanner

これはなかなかよさげな。

_ [webappsec] 徳丸浩の日記 - そろそろ入力値検証に関して一言いっとくか - Webアプリケーション脆弱性対策としての入力値検証について

とてもよくまとまってると思います。では、現状はどうなのか、というのを過去〜最近の経験から。

「住所欄や掲示板への投稿本文欄など、実質的に文字種を制限できない」値に対してはエスケープするなど正しく実装されてることが多いです。それが要件として明記されているのか、単にエスケープしないとデータが壊れるからか、プログラマが意図的に行っているのか、理由はよくわからないですけど。

問題がよく見つかるのは、「電話番号とか、価格とか、メールアドレスのように文字種や桁数などが限定される」値や、もっと値が限定できるはずの「hidden値やselectboxで選択された値」の方だったりします。

なので、次は何に注意して開発をすればいいかと聞かれたら、(当たり前の)入力チェックを確実に行いましょう、と答えるでしょう。根本的なセキュリティ対策ではない保険的な対策なのかもしれないですけど、十分効果が期待できると思います。

お名前:
E-mail:
コメント:

投稿する前にチェックボックスをチェックしてください


無料アクセス解析