IPA ISEC セキュア・プログラミング講座:C/C++言語編 第9章 ファイル対策:ファイルの別名検査
第9章 ファイル対策 ファイルの別名検査 入力パラメータとしてファイル名またはパス名を扱う場合、細工されたファイル名が与えられて、所定のディレクトリの範囲外のファイルへユーザが不正にアクセスするおそれがある。 ひとつのファイルを識別するための名前──ファイル名、あるいはファイル名がディレクトリ修飾されたパス名──には異なる表現が複数通りあり得、攻撃者はそうした「別名」を使って予定外のファイルにアクセスしてくる。ファイル名の入力検査においては受け入れるべきでないパス名のパターンをすべて排除する必要がある。 ファイル名・パス名の一般的特性 (1) 通常のディレクトリ修飾 ファイルを特定する方法には、ディレクトリ修飾をする方法とファイル名のみでの方法の2種類がある。 1) 絶対パス(パス名の先頭が 「/」で始まる)
「電子政府」における調達のための推奨すべき暗号のリスト案に対する意見募集の結果
総務省及び経済産業省は、「電子政府」における調達のための推奨すべき暗号(以下「電子政府推奨暗号」という)のリスト案(以下「電子政府推奨暗号リスト案」という)について、平成14年11月28日から同年12月25日までの期間、両省のホームページに掲載するなどして、国民の皆様から広く意見を受け付けたところ、2件の御意見を頂きました。お寄せいただいた御意見及び当該意見に対する総務省及び経済産業省の考え方は別紙1のとおりです。 お寄せいただいた御意見等を検討した結果、電子政府推奨暗号リストは原案どおりといたします(別紙2)。 なお、「電子政府の情報セキュリティ確保のためのアクションプラン」(平成13年10月10日情報セキュリティ対策推進会議)に基づき、本リストを踏まえ、本年度中に各省庁における電子政府推奨暗号の利用方針について合意を目指す予定です。 総務省及び経済産業省は、「電子政府」におけるセキ
IPAが新情報セキュリティ試験、「知識だけじゃ受かりません」 - @IT
2006/1/14 情報システムにおけるセキュリティへの注目が高まっていることを受け、情報処理技術者試験の新試験区分として「テクニカルエンジニア(情報セキュリティ)試験」が創設される。情報処理推進機構(IPA)は1月13日に開催された説明会で、初回の受験者は3万人ほどに達するとの予想を示した。 新試験の目的は「セキュリティ分野に知見のあるプロフェッショナルを評価する」(IPA)こと。2001年から実施されている「情報セキュリティアドミニストレータ試験」が情報システム利用側のものであるのに対し、情報システム開発側の試験であることを明確にした。 情報処理推進機構 情報処理技術者試験センター長 澁谷隆氏は、「実施スタートは情報セキュリティアドミニストレータ試験が先行したが、アンケートによって受験者の半分以上が開発側だったことが分かった」とし、「(情報セキュリティアドミニストレータ試験の受験者が4
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
