Webアプリにおける11の脆弱性の常識と対策：Webアプリの常識をJSPとStrutsで身につける（11）（4/4 ページ）

[山中秀樹，株式会社メセナ・ネットコム]

バリデーション（入力データチェック）の必要性

　Webアプリケーションの共通的な安全対策として「バリデーション」（入力データチェック）、例えば、「想定外の文字・文字列が存在した場合エラーを返す」などがあります。

　入力データチェックは、今回説明したXSSやSQLインジェクション、HTTPレスポンス分割、OSコマンドインジェクション、ディレクトリトラバーサルの対策が漏れていた場合の保険的な対策になる場合があります。

　バリデーションの常識については、連載第7回の「Webアプリ開発の常識、バリデーションとテンプレート」をご参照ください。

編集部注：脆弱性の対策に関しては、不備のある解説をしていたので、大幅に削除させていただきました。最新の情報は、＠IT Security＆Trustフォーラムなどを参照していただければと思います（2013年2月22日）。

セキュリティを意識した開発は、Webアプリ開発者の常識

　以上、11種類の脆弱性について説明しました。これで、Webアプリにおける脆弱性に関する理解が深まったと思います。いまだ、Webアプリケーションの脆弱性を突く攻撃は増加しているので、アプリケーション開発時には、「セキュリティを意識した開発」が常識といえるのではないでしょうか。

　次回はいよいよ最終回。スクリプトの常識と題し、JavaScriptの実装やAjaxの組み込みについて説明していこうと思います。

プロフィール

山中 秀樹（やまなか ひでき）
株式会社メセナ・ネットコム所属

Strutsを使用したWebアプリケーション開発に携わっている。現在は無事に開発を終え、保守を担当している。広い視野と柔軟な発想力を持った技術者を目指し、日々勉強を行っている。趣味はサッカー観戦、読書

「次回」へ

「Webアプリの常識をJSPとStrutsで身につける」バックナンバー

• JavaScript/Ajaxで知るWebアプリとスクリプトの常識
• Webアプリにおける11の脆弱性の常識と対策
• JUnitとEclipseを使って学ぶ、“テスト”の常識
• Hibernateで覚えるO/RマッピングとBeanの常識
• MySQLの常識を知りセットアップしてJSPからDB操作
• Webアプリ開発の常識、バリデーションとテンプレート
• 発掘！ Webの“あるある”問題点−ステートの常識
• もはやWeb利用者の常識、“URL”の意味を理解しよう
• HTMLやStrutsに必須の“タグ”と“サブミット”の常識
• Webアプリにおけるサーバとクライアントの常識
• Strutsの常識を知り、EclipseとTomcatの環境構築
• いまさら聞けない、Webアプリケーションの常識