連載
» 2009年09月01日 00時00分 公開

Webアプリの常識をJSPとStrutsで身につける(11):Webアプリにおける11の脆弱性の常識と対策 (4/4)

[山中秀樹,株式会社メセナ・ネットコム]
前のページへ 1|2|3|4       

バリデーション(入力データチェック)の必要性

 Webアプリケーションの共通的な安全対策として「バリデーション」(入力データチェック)、例えば、「想定外の文字・文字列が存在した場合エラーを返す」などがあります。

 入力データチェックは、今回説明したXSSやSQLインジェクション、HTTPレスポンス分割、OSコマンドインジェクション、ディレクトリトラバーサルの対策が漏れていた場合の保険的な対策になる場合があります。

 バリデーションの常識については、連載第7回の「Webアプリ開発の常識、バリデーションとテンプレート」をご参照ください。

編集部注:脆弱性の対策に関しては、不備のある解説をしていたので、大幅に削除させていただきました。最新の情報は、@IT Security&Trustフォーラムなどを参照していただければと思います(2013年2月22日)。

セキュリティを意識した開発は、Webアプリ開発者の常識

 以上、11種類の脆弱性について説明しました。これで、Webアプリにおける脆弱性に関する理解が深まったと思います。いまだ、Webアプリケーションの脆弱性を突く攻撃は増加しているので、アプリケーション開発時には、「セキュリティを意識した開発」が常識といえるのではないでしょうか。

 次回はいよいよ最終回。スクリプトの常識と題し、JavaScriptの実装やAjaxの組み込みについて説明していこうと思います。

プロフィール

山中 秀樹(やまなか ひでき)
株式会社メセナ・ネットコム所属

Strutsを使用したWebアプリケーション開発に携わっている。現在は無事に開発を終え、保守を担当している。広い視野と柔軟な発想力を持った技術者を目指し、日々勉強を行っている。趣味はサッカー観戦、読書



前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。