Perlセキュリティパターン 入力バリデーション、インジェクション防止、セキュアコーディングプラクティスを網羅するPerlアプリケーションの包括的なセキュリティガイドライン。 アクティベートするタイミング - Perlアプリケーションでユーザー入力を処理するとき - PerlのWebアプリケーション(CGI、Mojolicious、Dancer2、Catalyst)を構築するとき - セキュリティ脆弱性についてPerlコードをレビューするとき - ユーザー指定パスでファイル操作を実行するとき - PerlからシステムコマンドをExecuteするとき - DBIデータベースクエリを書くとき 仕組み テイント対応の入力境界から始め、次に外側に移動する: 入力をバリデートしてアンテイントし、ファイルシステムとプロセス実行を制約内に保ち、どこでもパラメータ化されたDBIクエリを使用する。以下の例は、ユーザー入力、シェル、またはネットワークに触れるPerlコードをリリースする前に適用することが期待されるデフォルトを示す。 テイントモード Perlのテイントモード( )は外部ソースからのデータを追跡し、明示的なバリデーションなしに安全でない操作で使用されることを防ぐ。 テイントモードの有効化 アンテイントパターン 入力バリデーション ブロックリストよりアローリスト 長さ制約 安全な正規表現…