Security

バッファオーバーフロー by IPA「安全なウェブサイトの作り方 第7版」

投稿日:2015年4月25日 更新日:

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「バッファオーバーフロー 」から一部抜粋する。(この資料はPDFでしか提供されていない)

注意が必要なウェブサイトの特徴

バッファオーバーフローは C、C++、アセンブラなどの直接メモリを操作できる言語で記述されている場合に起こります。これらの言語を使って開発されたウェブアプリケーションを利用しているサイトは注意が必要です。

現在のウェブアプリケーションのほとんどは PHP や Perl、Java などの直接メモリを操作できない言語を使っており、バッファオーバーフローの脆弱性の影響を受ける可能性は低いといえますが、PHP や Perl、Java のライブラリの中にはバッファオーバーフローの脆弱性が存在していたものがあります。

根本的解決

  • (i)-a 直接メモリにアクセスできない言語で記述する。
  • (i)-b 直接メモリにアクセスできる言語で記述する部分を最小限にする。
  • (ii) 脆弱性が修正されたバージョンのライブラリを使用する。

対応するCWE

📂-Security
-

執筆者:labo


comment

メールアドレスが公開されることはありません。

関連記事

セキュリティ

セキュリティの会社も疑ってみる

セキュリティの会社であっても営利企業なので、いろいろ思惑があって動くこともありますよ。 気を付けましょう。 全く出鱈目な注意喚起。対策の案内が出鱈目。https://t.co/gTCApCppvV(ネ …

Web Security

CSP (Contents Security Policy) の記述例その2

CSP (Contents Security Policy) の記述例その2です。

no image

HTML Purifier の使い方

目次HTML Purifier についてComposerで使う方法1. composer.json の require に、以下を追記する2. composer update する3. 実際に使うHT …

PHP

Laravel 5 でのセキュリティ対策 (PHP)

目次1. ユーザーによる入力値の検証入力パラメータ値のエンコーディングが正しいことをチェックするMiddlewareの例制御文字を禁止するバリデーションルールを追加する例1. バリデーション用のクラス …

Web Security

OWASP Juice Shop の進め方(時間がない場合)

OWASP Juice Shop の進め方(時間がない場合)を紹介します。