はてなブックマーク - 何故かあたり前にならない文字エンコーディングバリデーション

何故かあたり前にならない文字エンコーディングバリデーション

blog.ohgaki.net

タグ : security セキュリティ文字コード web PHP programming encoding プログラミング validation web制作

コンピュータ・IT 163 users

私が５年前（2004年）に「Web アプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想で... > このページを見る

最終更新時間: 2009年09月10日10時42分

▼ブログで紹介する

このエントリーに含まれている商品

Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?
大垣靖男
定価: ￥ 3,129
(2011/09/01 04:47 時点) 価格表示について
価格は、記載された日付／時刻の時点において正確です。価格は変更される場合があります。購入時にAmazonウェブサイトに表示されている価格が、その商品の販売に適用されます。
- 出版社/メーカー:技術評論社(単行本)
- 発売日:2006/03/16
- Amazon.co.jp 商品ランキング:504,581 位

みんなのブックマーク人気（0）新着

ghostbass セキュリティ, programming
やる場所でいえば$_GETとかに詰め込まれる前段階だよなあ。 2010/06/24
hnw
mb_check_encodingはSJIS-win/eucJP-winのとき正しい文字を不正とみなすので、イマイチ使いにくい気がします。UTF-8ならいいかもしれませんが。参考： http://d.hatena.ne.jp/hnw/20090215/ 2009/10/05
ardarim セキュリティ, Web, programming, 文字コード
「誤字・脱字では自分でも見つけましたが、こういう本の評価に重要なのでしょうか？」信頼性が低く見られる。ちゃんと推敲されてないってことだから。「書く事だけに一生懸命」とか時間がないとかは言訳にできない 2009/09/16
fukken
実装は容易。困難とか言ってる奴はコードと脳の両方、もしくは脳が腐っている。問題は性能にどう響くか、だけど、仕方ないコストだよねぇ//一番腐っているのはブラウザと処理系だが 2009/09/15
into_the_blue webappsec
今更ながら反応してみる。単純なSQL Injection、XSSでさえまともに対策できてないのが現状なのに、いきなり文字エンコーディングバリデーション！って言ってもねえ… 2009/09/14
nihen security, encoding
大筋同意なんだけど、「Ruby1.9は不正な文字エンコーディングを受け付けないからです。個人的には明示的にバリデーションコードで検出する方が良いと考えています」の理由を知りたいです 2009/09/12
rryu メモ
私も当たり前の対策の一つになると思っていたが、ならなかったのはMBCSでは結局必要となる文字コード変換がその替わりになる、冗長なUTF8はブラウザ等が拒否すれば影響がないのでXSSCSSのようにスルーされたのではないか 2009/09/12
Colosseum プログラム
被害の具体例と解決方法を、簡潔に書けば飛びつくのに！ 2009/09/11
kgbu vulnerability, 文字コード, security hole, security, web制作, くわばらくわばら, いまさら訊けない, まとめ, あるある, programming
耳イタすぎ。あたりまえにならないからといって手を抜く理由にならんぜ＞自分 2009/09/11
Kiske security
読み手のこと考えると誤字・脱字は無い方がいいでしょ。 2009/09/11
mumincacao dev, security, web
mysql_set_charset() は 5.2 系からじゃないと使えないからさ～ばによっては SET NAMES しかできないこともあるにう（´・ω・｀；【みかん　そ～いえば，mb_check_encoding() ってどこかのば～ぢょんで誤動作しなかったっけ？ 2009/09/11
lovely web, 文字コード, security
あとで 2009/09/11
paella セキュリティ, webサービス, 文字コード
必読。2009/9/10夕方からTwitterで色々質問させてもらったことの、まとめのような内容になっている。 2009/09/11
ikepyon
文字コードのチェックは仕様とは関係ないから実装されないんじゃないかな？やるのだったらPHP側で出来るだろうし、すべきだと思う。 2009/09/10
proofreading
「もしかしてコード監査で酷い目に合わせてしまった方達なのかな？（汗」←こういう事を書いてしまうメンタリティが「脆弱」なのよ。 2009/09/10
MinazukiBakera セキュリティ
うーむ。チェックしろと口で言うのは簡単だけど実装はそんなに簡単じゃない、という話もありそうですけどね。 2009/09/10
IwamotoTakashi security, encoding
SQLを組み立てたりHTMLを出力したりするときに弾けばいいので、入口で弾く必要はないと思ってます。 2009/09/10
americanboss work
具体的な例示がないと、誰も危機感持たないよ。XSSだとかSQLインジェクションとかはわかりやすかったから対策ブームが起きたわけで。「文字エンコーディングバリデーション」なんてネーミングじゃ流行らない…… 2009/09/10
LukeSilvia 本, security, 文字コード, mysql
不正な文字エンコーディングを利用した攻撃。発見されて認知されても既存アプリケーションの多くは対策をとらない。javascript インジェクション。db 層のエンコーディングについてもSET NAMES をアプリケーションから使って 2009/09/10
tohokuaiki security
ohgakiさんの文章は、正確なんだろうけど、どーも凡グラマの自分には読みずらい・・・。 2009/09/10