タグ
何故かあたり前にならない文字エンコーディングバリデーション
163 users
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当... 続きを読む
すべて表示
鬼車+Unicodeの:print:?はPOSIX流じゃないらしい - muddy brown thang
13 users
php, oniguruma, regex追記: どっちが正しいとかそういう話ではないので念のため...。id:ockeghem さんの、「POSIX正規表現の[:print:]は改行やタブがマッチするかどうかがPerlとPHPで異なりますね。Perlはマッチしない、PHPはマッチする。どっちが正しいんだ? ... 続きを読む
正規表現で「制御文字以外」のチェック - ockeghem(徳丸浩)の日記
49 users
一般に、セキュアコーディングの基本として入力値の検証(Validation)をせよということになっていますが、これが変な方向に行くといわゆる「サニタイズ」のような手法になってしまいます。以前も指摘したように、アプリケーションとしてのValidationは仕様に従... 続きを読む
徳丸浩の日記 - 入力値検証について(2) - アプリケーションの先頭で行う入力値検証は業務要件により行うべし
7 users
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ● アプリケーションの先頭で行う入力値検証は業務要件により行うべし 前回のエントリ徳丸浩の日記 - そろそ... 続きを読む
入力値検証の話 - T.Teradaの日記 - 2007-09-08
9 users
Webアプリケーションのセキュリティ対策としての入力値検証について議論されています。徳丸浩の日記 - そろそろ入力値検証に関して一言いっとくか - Webアプリケーション脆弱性対策としての入力値検証について思ったことをいくつか書きます。徳丸さんの日記は、... 続きを読む
