翻訳者レビュー ( 英語 → 日本語 )
評価: 53 / ネイティブ 日本語 / 0 Reviews / 2013/05/11 01:05:42
• For web forms or applications that accept user input, all input data should be properly checked, validated and sanitised before passing to the backend application. Any unexpected input, e.g. overly long input, incorrect data type, unexpected negative values or date range, unexpected characters such as those rejected by the application for bounding character string input etc., should be handled properly and would not become a means for attacking the application.
• Unnecessary contents such as platform information in server banners, help database, online software manuals, and default or sample files should be removed from production servers to avoid disclosure of internal system information.
・ユーザーの入力を受け入れるウエブフォームやアプリケーションに対して、入力データがバックエンド・アプリケーションに通過する前に、全ての入力データが適切にチェック、有効化及び不要部分の削除がなされるべきである。
想定されていないどんな入力―つまり長すぎる入力、正しくないデータタイプ、想定外の負の値やデータ幅、バウンディング文字列入力などのアプリケーションに拒否される想定外の文字―も適切に扱われ、アプリケーションを攻撃する手段となってはならない。
・サーバープラットフォーム情報のような不必要なコンテンツ、ヘルプデータベース、オンライン・ソフトウェアマニュアルそしてデフォルトやサンプルファイルは、内部システム情報の露出を避ける為に、プロダクションサーバーから削除されるべきである。