２章－７

［WEBアプリケーションにおける脅威］

HTTP特有のセキュリティホールに対しては
FW/IDSは効果が無い

クロスサイトスクリプティング
SQLコマンドインジェクション
パストラバース
セッションハイジャック
OSコマンドインジェクション
バッファオーバーフロー
設定ミス，デフォルト設定に起因する問題

［クロスサイトスクリプティング］
フォームから悪意のあるスクリプトを仕込む
HTMLを読み込んだ利用者のPCが感染
危険な文字を置換，除去する行為が必要

サニタイジング
危険な文字を置換／除去する

実体参照
HTMLに表示する前に，危険な文字を実体参照に置換する

［SQLコマンドインジェクション］
SQLコマンドの挿入
WEBアプリケーションが発行するSQLコマンドが改ざんされる
不正なパラメータがDBに送られることにより
不正な処理が可能になる

ユーザが入力したパラメータ値の入力チェックを正しく処理する
エスケープすべき文字を取り除く
デリミタ（区切り文字）

［OSコマンドインジェクション］
WEBアプリケーションで利用可能なOSコマンドを利用して
不正な入力を行う．
入力値をチェックする必要

［デフォルト設定］
デフォルトアカウントの流用しない
ログイン処理がバイパスできる開発者向けファンクションが
残されていないか確認する