URLパラメータの履歴

セキュリティ対策に必要なURLのパラメータチェック
(思いついた分のみ, 必須だが十分ではない)
一部は「エラー対応ブック」の引用も含む

  • オーバーフローチェック1 - 不当に大きい値、たとえば整数値や大型整数値を超える場合の動作。たとえば次の値のテストをする。

・ 制限値以下
・ 最小値
・ 中間値
・ 最大値
・ 制限値以上

  • オーバーフローチェック2 - 大きい桁数の小数値の扱い。掛け算、割り算などで計算が正常におこなえない。必ず桁数を制限する。
  • 文字コードチェック1 - 異なる文字コードが入力された場合の動作
  • 文字コードチェック2 - UTF8等で「一つの文字で複数の表現を許す」様な場合に、予期しないシーケンスのエンコーディングが来たときに正しくハンドリングしていること
  • 文字数チェック
  • 同一パラメータの数 - パラメータが存在しない、複数存在するような場合
  • 入力を許す文字列のチェック = 正しく入力できること, 正しく入力できないこと


おまけ

  • 再入力画面で文字化けをする場合に、処理の順序によってはXSSが発生するかも? → 未確認。実装によっては危ないことがあるような気もしないでもないので、「ただの文字化け」と気を抜かない方がいいかもよ。