top


総投稿数 本 
no_

スポンサーサイト

 --------
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
カテゴリ :スポンサー広告 トラックバック(-) コメント(-)
no_617

プログラミング・エラー:怖ことばですね。これから引き起こるセキュリティ上の問題。専門家がそのTOP25 を発表した ・・・ 【セキュリティ対策】

 2009-01-14
 最近、頻発している
 ・サイト改ざん や サイト踏み台問題
 あるいは
 ・SQLインジェクション問題

 いろいろな情報が錯綜している中、
 基本的な対応だけで本当に大丈夫なのだろうか?

で、この情報。とても気になりますね。
セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表
 ( by COMPUTERWORLD )
セキュリティ専門家が「最も恐ろしいプログラミング・エラー・トップ25」を発表 ※引用転載
 今回リストアップした
 プログラミング・エラーは、
 いずれもセキュリティ・バグとして
 コンピュータ・ネットワーク諜報活動や
 サイバー犯罪に悪用されるケースが
 頻発しているもの



 本文中にある
※引用転載
 ・何よりもまず、すべてのプログラマーに、
  このトップ25リストに載っているエラーを
  含まないコードを記述する方法を周知徹底
  させる必要
 ・あらゆるプログラミング・チームに、
  これらの問題を発見・修復もしくは回避する
  ためのプロセスを踏ませ、自動ツールの
  チェックを受けたものと遜色ないほど、
  自分のコードにエラーが少ないことを立証
  するツールを使用させねばならない

 ・・・これ、引っかかりましたね。

 では、その「リスト:トップ25」とは?

2009 CWE/SANS Top 25 Most Dangerous Programming Errors
 ( by COMPUTERWORLD )
2009 CWE/SANS Top 25 Most Dangerous Programming Errors おぉ。ずらっと並んでいる
 報告書本文。無論、英語だ。
 読み解くのに時間かかかる
 自分が情けないが・・・


CWE/SANS TOP 25 Most Dangerous Programming Errors
 ( by COMPUTERWORLD )
CWE/SANS TOP 25 Most Dangerous Programming Errors こちらも内容は同じだ



 ・もちろん一度には難しいけれど、少しづつ
  読み解いて対応考えてゆこうかねぇ。
  下記のように 1件1件確認してゆく必要がありそうだ。

●2009 CWE/SANS もっとも危険なプログラミンゲラー TOP25●
 【コンポーネント間における 不安定な関係】
  ■CWE-20: Improper Input Validation(不適当な入力確認)
   「誤った入力確認が、新たな脆弱さにつながる」
   ・PHP例
$birthday = $_GET['birthday'];
$homepage = $_GET['homepage'];
echo "Birthday: $birthday<br>Homepage: <a href=$homepage>click here</a>"

   ・この場合、プログラマーは
    ・birthday には、日付形式を
    ・homepage には、URLの入力を期待している
   ・しかし、攻撃を考えるものは、URLに
    <script> タグを含めることを考えるだろうと。
   ・すると、利用者はなんらかの <script> が含まれたURLを
    利用してしまうかもしれない、サーバーを用意することとなる

   >> 単に「数値・半角」などの入力チェックだけでなく
      「攻撃」につながる可能性がないように、「入力チェック」
      を行うべきである、と。

    他にも、C や Java を例に、解説がある


FC2ブログランキングにほんブログ村 IT技術ブログ Webサイト構築へブログ王ランキング人気ブログランキング人気ホームページランキングへ


commentsコメント
comment_post












管理者にだけ表示を許可する
commentトラックバック
トラックバックURL:
http://metaboy.blog23.fc2.com/tb.php/617-a064e9a5
ようこそ
Add to Google 創るmetaboy:RSSフィード
My Yahoo!に追加
最新記事のRSS | 問い合わせ

仕事検索、アルバイト検索、依頼仕事の検索ポータル - 仕事検索.COM - www.jobkensaku.com ツクルン

創るmetaboy - WEB創る、サイト創る、何創る - 創ったmetaboy

 

リンク集

 

最近の記事

 

ブロとも申請フォーム
Sponserd by

さくらのレンタルサーバ さくらのレンタルサーバ
大容量・高機能レンタルサーバー heteml 大容量・高機能レンタルサーバー heteml
XREA (ValueDomain)
お名前.com お名前.com
名づけてねっと名づけてねっと
ムームードメインムームードメイン

 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。