URLパラメータ
セキュリティ対策に必要なURLのパラメータチェック
(思いついた分のみ, 必須だが十分ではない)
一部は「エラー対応ブック」の引用も含む
・オーバーフローチェック1 - 不当に大きい値、たとえば整数値や大型整数値を超える場合の動作。たとえば次の値のテストをする。
・ 制限値以下
・ 最小値
・ 中間値
・ 最大値
・ 制限値以上
・オーバーフローチェック2 - 大きい桁数の小数値の扱い。掛け算、割り算などで計算が正常におこなえない。必ず桁数を制限する。
・文字コードチェック1 - 異なる文字コードが入力された場合の動作
・文字コードチェック2 - UTF8等で「一つの文字で複数の表現を許す」様な場合に、予期しないシーケンスのエンコーディングが来たときに正しくエラーハンドリングしていること
・文字数チェック
・同一パラメータの数 - パラメータが存在しない、複数存在するような場合
・入力を許す文字列のチェック = 正しく入力できること, 正しく''入力できない''こと
おまけ
・再入力画面で文字化けをする場合に、処理の順序によってはXSSが発生するかも? → 未確認。実装によっては危ないことがあるような気もしないでもないので、「ただの文字化け」と気を抜かない方がいいかもよ。
(思いついた分のみ, 必須だが十分ではない)
一部は「エラー対応ブック」の引用も含む
・オーバーフローチェック1 - 不当に大きい値、たとえば整数値や大型整数値を超える場合の動作。たとえば次の値のテストをする。
・ 制限値以下
・ 最小値
・ 中間値
・ 最大値
・ 制限値以上
・オーバーフローチェック2 - 大きい桁数の小数値の扱い。掛け算、割り算などで計算が正常におこなえない。必ず桁数を制限する。
・文字コードチェック1 - 異なる文字コードが入力された場合の動作
・文字コードチェック2 - UTF8等で「一つの文字で複数の表現を許す」様な場合に、予期しないシーケンスのエンコーディングが来たときに正しくエラーハンドリングしていること
・文字数チェック
・同一パラメータの数 - パラメータが存在しない、複数存在するような場合
・入力を許す文字列のチェック = 正しく入力できること, 正しく''入力できない''こと
おまけ
・再入力画面で文字化けをする場合に、処理の順序によってはXSSが発生するかも? → 未確認。実装によっては危ないことがあるような気もしないでもないので、「ただの文字化け」と気を抜かない方がいいかもよ。
参考になるURL
perl - EncodeでXSSを防ぐ
コメントするにはログインが必要です
もしかして
他の人の「URLパラメータ」
WebEngineer/Programmer. Prince of Datemaki. http://t.co/bRyxe9zpWJ スコーンと自転車。技術隊長,料理長. Descendant of Ninja(大嘘). カニ野郎.
(389words)