『安全なWebアプリケーションの作り方』読書メモ 4章1節(Webアプリケーションの機能と脆弱性の対応)

☆脆弱性の発生箇所
・アプリケーションには、入力-処理-出力 という流れがある。
・脆弱性は処理に起因するものと出力に起因するものとがある。
・(Webアプリに関しては)入力に起因する脆弱性はない。

☆脆弱性の種類(出力に起因)
ブラウザ:クロスサイト・スクリプティング、HTTPヘッダ・インジェクション
・RDB:SQLインジェクション
・シェル:OSコマンド・インジェクション
・メール:メールヘッダ・インジェクション

☆脆弱性の種類(処理に起因)
・ファイル:ディレクトリ・トラバーサル
・その他:クロスサイト・リクエストフォージェリ、セッションフィクセーション、認証不備、認可不備

コメントを残す