Garbage Script on Goo BLOG

某SIerの"元"研究者 兼 情報Security技術者"F.Koryu"の日常の雑記置き場

クロスサイトスクリプティングが無くならない10の理由

2007-11-12 13:48:03 | セキュリティ(技術者向け)
なぜPHPアプリにセキュリティホールが多いのか?:第10回 クロスサイトスクリプティングが無くならない10の理由 - gihyo.jp

まぁPHPに限らず、全てのWebアプリ開発に関係すると思われますが……。
  1. 複雑な攻撃経路と対策</il>
  2. 新しい技術やブラウザの導入</il>
  3. 知識不足</il>
  4. コードの独り歩き</il>
  5. リソース不足</il>
  6. 不適切な対策</il>
  7. コードレビューの不在</il>
  8. 国際化の壁</il>
  9. フレームワークの不在</il>
  10. 不適切な設定</il>
個人的は1.が主たる原因で 3. 4. 6. 辺りが更にこの状況を加速しているような……と考えています。

まぁ何れにせよ、セキュアなプログラミングをするためには、色々と知り理解しておく必要があるという事で。

まずは安全な環境で色々と試してみて、その怖さを実感する事からですかね?


最新の画像もっと見る