« 名古屋市が住基ネットから離脱? | Main | クラウドコンピューティングサービスを本当に普及させるためにはまじめに課題に対応しなければならないよね。。。 »

2010.01.22

IPA 安全なウェブサイトの作り方 改訂第4版

 こんにちは、丸山満彦です。IPAが「安全なウェブサイトの作り方 改訂第4版」を公表していますね。。。おもな改訂内容は、
=====
(略)第3版にて2項目あった失敗例を4項目追加し、合計6項目について具体的なソースコードに基づく失敗例や修正例を理解できるようにしました。
 また、新たにWAF(Web Application Firewall)を使用したウェブアプリケーションの保護について取り上げ、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を理解できるようにしました。
=====
 ということのようです。。。。

=====

 
■IPA
・2010.01.20 「安全なウェブサイトの作り方 改訂第4版」を公開~ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ~

 ・・安全なウェブサイトの作り方 改訂第4版

目次です。。。
=====
1. ウェブアプリケーションのセキュリティ実装 .
 1.1 SQLインジェクション .
 1.2 OSコマンド・インジェクション .
 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
 1.4 セッション管理の不備
 1.5 クロスサイト・スクリプティング .
 1.6 CSRF(クロスサイト・リクエスト・フォージェリ)
 1.7 HTTP ヘッダ・インジェクション .
 1.8 メールの第三者中継
 1.9 アクセス制御や認可制御の欠落.

2. ウェブサイトの安全性向上のための取り組み .
 2.1 ウェブサーバのセキュリティ対策 .
 2.2 DNS 情報の設定不備 .
 2.3 ネットワーク盗聴への対策 .
 2.4 パスワードの不備
 2.5 フィッシング詐欺を助長しないための対策
 2.6 WAFによるウェブアプリケーションの保護

3. 失敗例 .
 3.1 SQLインジェクションの例
 3.2 OSコマンド・インジェクションの例
 3.3 パス名パラメータの未チェックの例.
 3.4 クロスサイト・スクリプティングの例 .
 3.5 CSRF(クロスサイト・リクエスト・フォージェリ)の例 .
 3.6 HTTPヘッダ・インジェクションの例
=====

|

« 名古屋市が住基ネットから離脱? | Main | クラウドコンピューティングサービスを本当に普及させるためにはまじめに課題に対応しなければならないよね。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference IPA 安全なウェブサイトの作り方 改訂第4版:

« 名古屋市が住基ネットから離脱? | Main | クラウドコンピューティングサービスを本当に普及させるためにはまじめに課題に対応しなければならないよね。。。 »