JNSAセキュアシステム開発ガイドラインの入力バリデーション

2005年に出された古いガイドラインですが、「JNSAセキュアシステム開発ガイドライン「Web システム セキュリティ要求仕様(RFP)」編β版」に以下の記載例がありました。


(以下引用)

1.入力検証および不正データ入力時の無効化

ユーザが悪意のある文字列を組み込んでアプリケーションを攻撃し、本来権限のないユーザがデータにアクセス(情報の入手、情報の改ざんなど)できないように、以下を考慮した対策を提案すること。

  • 悪意ある文字列の入力チェックもしくは無害化
  • SQLインジェクションの防御
  • コマンドインジェクションの防御
  • パストラバーサルの防御
  • パラメータ改ざんの防御
  • クロスサイトスクリプティングの防御
  • バッファオーバフローの防御

(引用ここまで)


これ、「入力検証および不正データ入力時の無効化」の見出しを削除すればいいと思いますが、素直に読むと列挙されている項目を全部入力時に防げということですよね。

このガイドライン、改訂されないんでしょうかね?

ところで、バッファオーバフローの防御はどうしたらいいんでしょう?ご存知の方がいらっしゃいましたら、お教えください。

Date: 2015/02/10

Tags: security