タグ

cとvulnerabilityに関するfragarach_the_swordのブックマーク (2)

  • 文字列はNULL終端させる ――C/C++セキュアコーディング入門(3)

    攻撃対象として狙われやすい文字列処理 文字列は、プログラムとユーザ、プログラムとプログラム間のインタフェースとして利用されるのをはじめ、XMLなどテキスト形式で表現された情報を処理する際にも利用されます。データのみならず、プログラムの挙動に直接影響する動作パラメタや設定情報など様々な情報がテキスト形式で表現されるにつれ、文字列を処理する機会が増加すると共に、文字列を処理すること自体の重要性が高まっています。 攻撃者にしてみれば、プログラムの挙動を操作しうる文字列処理の不備を突く機会も多く存在することになるため、文字列操作エラーを作り込まないことが求められます。文字列操作に関するプログラミングエラーはいくつかありますが、今回は基的であるが間違いを犯しやすい文字列のNULL終端エラーについて解説します。 NULL終端エラー 文字列型を持たないC言語において、文字列は文字型の配列で表現されます

    文字列はNULL終端させる ――C/C++セキュアコーディング入門(3)
    fragarach_the_sword
    fragarach_the_sword 2009/12/24
    CodeZine連載:C/C++セキュアコーディング入門(3):文字列はNULL終端させる
  • 脆弱性体質の改善 ――C/C++セキュアコーディング入門(1)

    はじめに 皆さんこんにちは。JPCERTコーディネーションセンターという組織でセキュアコーディングに関する取り組みに携わる筆者らが、これからこの連載を担当させていただくことになりました。どうぞよろしくお願いします。なお、JPCERTコーディネーションセンターは、情報セキュリティインシデントへの対応支援や、ソフトウエアの脆弱性(いわゆるセキュリティホール)に関する製品開発者間における公開日の調整や関連情報の公開なども行っています。 この連載では、バッファーオーバーフロー等の脆弱性をうっかり作り込んでしまったがために、数千万円ものコストをかけて、ユーザに告知し、製品を回収して、工場でファームウェアをアップデートする事態に陥ったり、あるいは脆弱性を放置してユーザを危険にさらし、それが明るみに出て「世間を騒がす」ことになったりしなくても済むように、そもそもの製品開発時からセキュアなプログラムを書く

    脆弱性体質の改善 ――C/C++セキュアコーディング入門(1)
    fragarach_the_sword
    fragarach_the_sword 2009/11/18
    CodeZine連載:C/C++セキュアコーディング入門(1)
  • 1