ソフトウエア等の脆弱性関連情報に関する届出状況

ネタ元：ITmedia

「Webサイトの脆弱性届出が過去最高に」という記事が出ていたので、久しぶりにIPAのページを見てみました。

http://www.ipa.go.jp/security/vuln/report/documents/vuln2007q3.pdf

気になったのは上記pdfの１３ページ付近。

未だに、脆弱性の種類の大半が「クロスサイト・スクリプティング」と「SQLインジェクション」であるということです。

これだけ世間でセキュリティについて騒がれていて、対応方法も多く出回っているというのにです。

セキュリティ対策と言っても、簡単なものから難しいものまであると思いますが、

少なくともこの２つに関しては、開発者が気をつければ比較的簡単に防げるものですから、きちんと対応してほしいところです。

投稿日時 : 2007年10月23日 11:49

# re: ソフトウエア等の脆弱性関連情報に関する届出状況 2007/10/23 12:04 凪瀬

そういや、私もこないだXSS脆弱性を届出したなぁ。
XSSとSQLインジェクションがなくなりにくいのは、アスペクト的事象であるからと考えています。
「全てのHTML出力箇所でエスケープしなければならない」
「全てのSQLパラメータ受け渡し箇所でエスケープしなければならない」
といったように、「全て」というのが曲者。

同じ理由でバッファオーバーフローも未だに後を絶えません。

# re: ソフトウエア等の脆弱性関連情報に関する届出状況 2007/10/23 17:59 kox

「全て」対応できるかといったら難しいですね。
漏れは当然のように発生するでしょうから。
ただあまりにも多いなというのが僕の印象。
それとも単純にXSSやsQLインジェクションが露呈しやすいだけなのでしょうか。

# re: ソフトウエア等の脆弱性関連情報に関する届出状況 2007/10/23 19:19 凪瀬

発見のしやすさもあるでしょうね。
特にWebシステムというのはB2Cでよく使われるわけで、我々ユーザとしても触れる機会が多いですし。

# You relaly found a way to make this whole process easier. 2012/10/18 2:50 Stracatella

You relaly found a way to make this whole process easier.

# <url>http://www.bestcarinsurquotes.com/|online car insurance</url> zkup <url>http://www.bestquotesforinsurance.com/|permanent life insurance</url> 00843 2012/11/08 0:34 Fanni

<url>http://www.bestcarinsurquotes.com/|online car insurance</url> zkup <url>http://www.bestquotesforinsurance.com/|permanent life insurance</url> 00843

# <url>http://www.bestquotesga.com/|car insurance quotes ga</url> %OOO <url>http://www.hypothyroidismmeds.com/|synthroid</url> sbeoz <url>http://www.myheartburnrelief.net/|prilosec</url> 864 2012/12/03 4:13 Lilian

<url>http://www.bestquotesga.com/|car insurance quotes ga</url> %OOO <url>http://www.hypothyroidismmeds.com/|synthroid</url> sbeoz <url>http://www.myheartburnrelief.net/|prilosec</url> 864

Post Feedback

タイトル	タイトルを入力してください
名前	名前を入力してください
Url:
コメントコメントを入力してください
名前をブラウザに記憶する

Kox Blog

ニュース

書庫

日記カテゴリ

リンク

コメント

Post Feedback