27. フレームワークアナライザ
HTTP リクエスト
フレームワークを Web アプリケーション
理解しなければ、
Data
汚染データの Access
入口、経路、到達点 Model
Controller
を知ることができない View
Resolver
View
現サポートフレームワーク
(Java7対応)
Spring MVC 2.x, 3.x
Java EE Model View Technology View
JDBC, Spring JDBC
Hibernate, JPA
JSP
HTTP レスポンス
28. ホワイトボックスファザーとサニタイズ
a b c d …
< > & “ ‘
発見した汚染データの侵入経路に
汚染データを投入し、
無害化されているかを
自動的に確認する
htmlEncode()
< > & " '
a b c d …
コベリティが開発したエスケーパーをオープンソースに:
https://github.com/coverity/coverity-security-library/tree/gh-pages
28