MAKIZOU.COM

ZDnet Japan
http://japan.zdnet.com/

サイト脆弱性をチェックしよう！–第2回：“正しい”ウェブアプリのコーディングとは

　脆弱性は正しく設計やコーディングができていないからこそ生じるのであって、そもそも正しく構築されているのであれば出現しない「はず」だ。“はず”というのは、ケアレスミスをゼロにすることは不可能であるからで、そのミスを発見するのがチェックの目的となる。

　脆弱性は、設計やコーディングのミスの結果でしかない。そのミスを正せばおのずと脆弱性もなくなる。それでは、ウェブアプリケーションの「正しい」コーディングとは何であろうか。

コーディング時に発生する脆弱性

　コーディング時に発生する脆弱性の原因は2つ考えられる。ひとつは入力時のデータ検証の不足であり、もうひとつは出力時のデータの処理不足だ。入力、出力どちらの場合でも扱うデータの形式は設計段階で規定されているはずであり、範囲外の値を受け入れたり出力したりするのは「実装＝コーディングのミス」と言える。

チェックはあくまでも、確認であり、設計やコーディングが正しく行われていないと全く意味をなさない。
今回の記事はサイトの脆弱性をチェックするより前の段階の話です。