2012年2月29日水曜日

[お勉強]ぴよぴよセキュアWebアプリ制作(4)

関東雪降るウルウドシ。
white leap day!!
さむーい!

おふとんにくるまりながら今日もまとめていきますよ。
Let's Study!

◇脆弱性がつくりこまれるタイミング
  • 設計段階
  • プログラミング段階

○設計段階での注意点

設計段階でつくりこまれた脆弱性が
プログラミング段階でみつかると
修正コストが跳ね上がる。
当たり前だけど運用で見つかってしまうと
さらに多くのコストがかかる。

ので

設計の地点でセキュリティをがっつり考慮すること。

めんどくさいからって
「まずはリリース!後からまとめて直した方が効率的!」
とか考えないこと!!

○プログラミング段階での注意点
プログラミング段階でつくられる脆弱性は
プログラミングのミスや処理の抜けが原因でおきるバグ。
  • 入力値チェック
  • 出力時チェック

で防ぐことができる。

  • 入力値チェック

 入力した値が許可されたものかをチェックし内部の処理を正常に動作さるためのもの
 根本的対策にはならないが、攻撃パターンを減らすという意味で保険的対策となる
  • 出力時の処理

 出力データを正しいフォーマットにするためのもの
 これを怠ると、XSSやSQLインジェクションの原因となる。

0 件のコメント:

コメントを投稿