IPA 安全なウェブサイトの作り方 改訂第4版
こんにちは、丸山満彦です。IPAが「安全なウェブサイトの作り方 改訂第4版」を公表していますね。。。おもな改訂内容は、
=====
(略)第3版にて2項目あった失敗例を4項目追加し、合計6項目について具体的なソースコードに基づく失敗例や修正例を理解できるようにしました。
また、新たにWAF(Web Application Firewall)を使用したウェブアプリケーションの保護について取り上げ、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を理解できるようにしました。
=====
ということのようです。。。。
=====
■IPA
・2010.01.20 「安全なウェブサイトの作り方 改訂第4版」を公開~ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ~
目次です。。。
=====
1. ウェブアプリケーションのセキュリティ実装 .
1.1 SQLインジェクション .
1.2 OSコマンド・インジェクション .
1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
1.4 セッション管理の不備
1.5 クロスサイト・スクリプティング .
1.6 CSRF(クロスサイト・リクエスト・フォージェリ)
1.7 HTTP ヘッダ・インジェクション .
1.8 メールの第三者中継
1.9 アクセス制御や認可制御の欠落.
2. ウェブサイトの安全性向上のための取り組み .
2.1 ウェブサーバのセキュリティ対策 .
2.2 DNS 情報の設定不備 .
2.3 ネットワーク盗聴への対策 .
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
2.6 WAFによるウェブアプリケーションの保護
3. 失敗例 .
3.1 SQLインジェクションの例
3.2 OSコマンド・インジェクションの例
3.3 パス名パラメータの未チェックの例.
3.4 クロスサイト・スクリプティングの例 .
3.5 CSRF(クロスサイト・リクエスト・フォージェリ)の例 .
3.6 HTTPヘッダ・インジェクションの例
=====
Comments