Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含むウェブアプリの失敗ソースコードを勉強できる資料 - IPA

情報処理推進機構(IPA)は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。

今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。

従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。

各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF(ウェブアプリケーションファイアウォール)」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。

(Security NEXT - 2010/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

ISOG-J、効果的なセキュリティ情報共有のポイントを整理した資料公開
CSA、IoTの「攻撃シナリオ」と「対策」まとめた資料を公開
中小企業向けに改正個人情報保護法を解説 - チェックリストも
政府、組織向けに標的型攻撃対策の解説資料 - 「人、組織対策」と「技術的対策」を解説
ID-based Securityイニシアティブが発足
自動車セキュリティの取組ガイドに改訂版 - 製造工程での脅威対策を追加
保有件数5000件以下の中小企業向けにサポートページ - 個人情報保護委
標的型攻撃で狙われる「Active Directory」保護の対策資料 - 優先順位踏まえ具体的に解説
JSSEC、「Andorid 7.0」に対応したセキュアコーディングガイド
IPAが10大脅威を選出 - 注目集めるランサムウェア