SANS って見るとなんだかはぼを思い出すにゃぁ・・・
っておはなしはとりあえずおいといて☆
SANS のでんじゃらすなえら〜２５個なんてあったからもふもふっと眺めてみたけど・・・
とりあえずかなり大雑把なかんじとしてはこんなかんじでいいのかなぁ？



☆こんぽ間でのだめだめなやり取り

・CWE-20 : 入力ちぇっくがだめだめ
　→けっこう JavaScript でちぇっくしてあるからって無視してるの見かけるかなぁ？

・CWE-116 : 出力するときのえすけ〜ぷがだめだめ
　→入力ちぇっくとまとめてさにたいずとかいうひといるにゃぁ・・・　（´・ω・｀；【みかん

・CWE-89 : SQL の構築方法がだめだめ(SQL Injection)
　→DB さ〜ばに出力するから出力時えすけ〜ぷの一種な気もするけどにう・・・

・CWE-79 : ぺ〜じの構築方法がだめだめ(XSS)
　→これまた出力時えすけ〜ぷ・・・にう？

・CWE-78 : OS こまんどの構築方法がだめだめ(OS Command Injection)
　→OS 用の出力時えすけ〜ぷ・・・にう？

・CWE-319 : 大事な情報を平文で送っちゃう
　→個人のお遊びで SSL のできる環境ってかなりたいへんにう（つｘ；【みかん

・CWE-352 : 外部から不正なりくえすとを投げれちゃう(CSRF)
　→XSS からのこんぼにも要注意かなぁ？

・CWE-362 : 同一りくえすとを同時に複数投げたときの処理がだめだめ
　→ちけっと確認しなくて複数描き込みされちゃうかんじ？

・CWE-209 : えら〜めっせに描きすぎ
　→これはどこまで描いていいかのらいんが難しいにう（´・ω・｀；【みかん


☆きけんがあぶないりそ〜す管理

・CWE-119 : 全部めもりばっふぁでがんばらない
　→ばっふぁお〜ば〜ふろうに注意なかんじ？

・CWE-642 : 大事な情報は外部から操作できるようにしない
　→管理者のほすと制限はせ〜ふ・・・にう？（´ω｀；【みかん

・CWE-73 : ふぁいる名やぱすの指定は外部からできるようにしない
　→でぃれくとりとらば〜さるっぽい

・CWE-426 : 無差別ぱすでの検索はしない
　→よぶんな情報は出しちゃめ

・CWE-94 : こ〜ど生成方法がだめだめ(Code Injection)
　→けっこう JavaScript で受け取ったものをさくっと eval とかあるよね・・・

・CWE-494 : DL したこ〜どを確認しないで実行しない
　→ってこれまた JavaScript でよく見かけるかもにう（´ω｀；【みかん

・CWE-404 : 使ったりそ〜すはちゃんと片付ける
　→close し忘れに注意？

・CWE-665 : 初期化処理がだめだめ
　→変数初期化しないでも使える言語だと特に要注意かなぁ？

・CWE-682 : 0 で割るみたいな不正な計算はしない
　→入力値を計算に使うときは入力ちぇっくともからむかも？


☆あなあな防御？
　→なんだか意味わかんないけど複合的なもの？

・CWE-285 : 認証がだめだめ(Authorization)
　→ゆ〜ざ以外に非公開なりくえすとでもちゃんと確認しましょう？

・CWE-327 : はっしゅあるごりずむがだめだめ
　→md5 もそろそろきけんがあぶないあるごりずむに入るのかなぁ・・・

・CWE-259 : ぱすわ〜どの直描きはだめだめ
　→DB への接続情報とかなにかいい保存方法ないのかなぁ？（´・ω・｀；【みかん

・CWE-732 : 大事な情報の権限確認がだめだめ
　→大事なものにはちゃんと鍵をかけましょうってかんじ？

・CWE-330 : 乱数発生装置がだめだめ
　→Wikipedia なかるどせぷとさ〜がなさいころばぐ・・・にう？（´ω｀；【みかん

・CWE-250 : 不必要な権限を与えない
　→通常使うあかうんとと管理用あかうんとを分けるっておはなしもよく聞くにゃぁ・・・

・CWE-602 : くらいあんと側で確認しててもさ〜ば側の確認を忘れない
　→入力ちぇっくのおはなし・・・にう？（´ω｀；【みかん


これはっていうのがなかったからあんまり詳しくは見てないけどにう（´・ω・｀；【みかん