■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
単純。「異常な(= 想定していない)値の処理」だから異常系だと考える。以上終了。 つまりだ。たかぎせんせいは「正常系」の処理として、入力された値を「出力するときに相手の都合に合わせて適切なフォーマットで出力しませう」と言っている。これはもちろん正常系の動作で、インターフェイスに合わせて出力するのが当然だ。 対して「サニタイズ脳」の俺みたいな人は、「異常な値に対応するのは異常系である」と認識するわけだ。そこからもうグダグダだけどな。スクリプトの目的が違っちゃってる。 つまり、たとえばインターフェイスから範囲外の値が入力されたとき、「値が大きすぎます」とか「値が小さすぎます」といったエラー処理を行う。これは異常系の処理。この延長線上で、「HTMLのメタキャラクタはアウト」「SQLのメタキャラクタはアウト」 → 「要するに入れちゃダメな値が入ってきたわけだ」 → 「じゃあ異常系で」と考えてしまう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く