最新の脆弱性は文字コードにあり?! [プログラミング]
ITProで「注目される文字コードのセキュリティ問題」(No1)(No2)(3)という記事が掲載されています。
先日のdevsumi2009のパネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」でもUTF-7を用いた脆弱性攻撃の例が挙げられていました。
ITProの記事のように設計側が利用する文字コードも意識しないといけないとは思いますが、応答が期待通りの文字コードではない可能性も考慮しておく必要があります。devsumi2009のパネルディスカッションで出ていたUTF-7の攻撃も想定していない(が正規な)文字コードという設計の隙間を狙ったものでした。
Webシステムは基本的にテキストの送受信でシステムが成立します。そこで利用される文字がどういったものなのか、そこに脆弱性は隠れていないか、開発者はもっともっと神経を尖らせておく必要がありそうです。
2/24 第2回のリンクを追加しました。
3/3 第3回のリンクを追加しました。
先日のdevsumi2009のパネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」でもUTF-7を用いた脆弱性攻撃の例が挙げられていました。
ITProの記事のように設計側が利用する文字コードも意識しないといけないとは思いますが、応答が期待通りの文字コードではない可能性も考慮しておく必要があります。devsumi2009のパネルディスカッションで出ていたUTF-7の攻撃も想定していない(が正規な)文字コードという設計の隙間を狙ったものでした。
Webシステムは基本的にテキストの送受信でシステムが成立します。そこで利用される文字がどういったものなのか、そこに脆弱性は隠れていないか、開発者はもっともっと神経を尖らせておく必要がありそうです。
2/24 第2回のリンクを追加しました。
3/3 第3回のリンクを追加しました。
コメント 0