データベースサーバの場合、
例えば、
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-6284
The xmlCurrentChar function in libxml2 before 2.6.31 allows context-dependent attackers to cause a denial of service (infinite loop) via XML containing invalid UTF-8 sequences.
ブラウザは文字エンコーディングを利用した攻撃に非常に脆弱です。特にWebシステムでは文字エンコーディングを厳格に取り扱うよう注意しなければなりません。
対策のまとめ
- 入力時に文字エンコーディングが妥当か確認する
- 文字エンコーディングは可能な限り厳格に取り扱う
- データベースサーバ設定など不正な文字エンコーディングが保存できないようにする