HOMELv006 ファイルアップロード攻撃を防ぐ対策として、ファイルの拡張子だけでなく何を検証すべきか。 2026年3月10日 拡張子は偽装可能なため、ファイルの中身(マジックナンバー)やMIMEタイプを厳密に検証することが重要である。 PHPの `system()` や `exec()` などの関数に対し、外部からの入力を適切にサニタイズせずに渡すことで発生する脆弱性はどれか。 技術的なエラーはないが、アプリケーションの仕様や業務フローの盲点を突いて不正行為(例:クーポン無限適用)を行う攻撃はどれか。
