2005年3月4日(金曜日)
消費者向け電子商取引サイトの運用における注意点
IPA の脆弱性のところ (www.ipa.go.jp)に、「注意喚起、啓発資料」という項目が追加されていますね。「消費者向け電子商取引サイトの運用における注意点 (www.ipa.go.jp)」
こういうのをどんどん出していただけると良いのではないかと思います。が、微妙な点もいくつか。
パス・トラバーサルを回避するために、公開していないページ(ディレクトリ)に利用者セスできないよう、アクセス制限をしていますか?
ウェブブラウザの機能にある「上のディレクトリに移動」などを利用することで、非公開のページや、ディレクトリへのアクセスを許してしまう場合があります。このとき、本来利用者に見られてはならない情報を見られてしまう可能性があります。
対応の必要があるのは間違いないのですが、それは単なる丸見えであって「パス・トラバーサル」ではないですよね。
クロスサイト・スクリプティングによる情報の漏えいを防ぐために、利用者から入力された危険な(特殊な)文字を無害化していますか?
利用者がある程度自由に入力できる入力フォームにおいては、文字入力の際に"<" や ">" 、空白(Null)、また、それらを意味するUnicode 形式の文字列が入力されることで、ウェブサーバが実行可能な命令文であると認識し、命令が実行される場合があります。
これは「ウェブサーバが」ではなくて「ブラウザが」、ですね。ウェブサーバがコマンドと解釈するならコマンドインジェクションですし。「命令文」というのも微妙ですが……。
- 「消費者向け電子商取引サイトの運用における注意点」へのコメント (2件)
- 前(古い): 2005年3月2日(Wednesday)のえび日記
- 次(新しい): 2005年3月5日(Saturday)のえび日記
