最新の脆弱性は文字コードにあり？！

ITProで「注目される文字コードのセキュリティ問題」（No1）（No2）(3)という記事が掲載されています。

先日のdevsumi2009のパネルディスカッション「Webアプリケーション／Ajaxセキュリティ徹底バトル」でもUTF-7を用いた脆弱性攻撃の例が挙げられていました。

ITProの記事のように設計側が利用する文字コードも意識しないといけないとは思いますが、応答が期待通りの文字コードではない可能性も考慮しておく必要があります。devsumi2009のパネルディスカッションで出ていたUTF-7の攻撃も想定していない（が正規な）文字コードという設計の隙間を狙ったものでした。

Webシステムは基本的にテキストの送受信でシステムが成立します。そこで利用される文字がどういったものなのか、そこに脆弱性は隠れていないか、開発者はもっともっと神経を尖らせておく必要がありそうです。


2/24 第2回のリンクを追加しました。
3/3　第3回のリンクを追加しました。

タグ：Webアプリケーション 文字コード 脆弱性 UTF-7 SQLインジェクション