IPA ISEC セキュア・プログラミング講座:C/C++言語編 第9章 ファイル対策:ファイルの別名検査
第9章 ファイル対策 ファイルの別名検査 入力パラメータとしてファイル名またはパス名を扱う場合、細工されたファイル名が与えられて、所定のディレクトリの範囲外のファイルへユーザが不正にアクセスするおそれがある。 ひとつのファイルを識別するための名前──ファイル名、あるいはファイル名がディレクトリ修飾されたパス名──には異なる表現が複数通りあり得、攻撃者はそうした「別名」を使って予定外のファイルにアクセスしてくる。ファイル名の入力検査においては受け入れるべきでないパス名のパターンをすべて排除する必要がある。 ファイル名・パス名の一般的特性 (1) 通常のディレクトリ修飾 ファイルを特定する方法には、ディレクトリ修飾をする方法とファイル名のみでの方法の2種類がある。 1) 絶対パス(パス名の先頭が 「/」で始まる)
A Hole In My Head
Doron Holan's musings on drivers and other nibbles and bits Developing Drivers with the Windows® Driver Foundation, i.e. the WDF book, is apparently back in print! Yeah! The book is now back in print (see Amazon) Author: Doron Holan [MSFT] Date: 12/15/2010 Developing Drivers with the Windows® Driver Foundation, i.e. the WDF book, is apparently out of print Looks like the going price on Amazon is >
Secure Programming 関連
<Home> → <My Glossary Index> → <Secure Programming 関連> この page は、開発者がより安全なコードを記載するにはどうしたらよいか、もしくはシステム側で防御するかについての手法について纏めています。 「ソフトウェア無謬性の神話」 [実践 Linuxセキュリティー(インプレス)] より。無謬性(むびゅうせい)とは過ちがないこと。 ソフトウェア開発に携わっていない人は特に「ソフトウェア(コンピューター)には誤りが無い」と錯覚している節があるようです。実際、医療や金融システム、航空宇宙分野ですらソフトウェアのバグにより被害を及ぼしています。 かなりの人月と予算を費やしたプロジェクトであったとしてもバグを防ぐことは出来なかったという現実を認識すべきです。 Buffer Overflow(Overrun) Buffer Overflow は、開発
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.ipa.go.jp/security/awareness/vendor/programming/b08.html
第6章 セキュアC/C++ プログラミング
