情報処理推進機構(IPA)は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。
今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。
従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。
各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF(ウェブアプリケーションファイアウォール)」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。
(Security NEXT - 2010/01/26 )
ツイート
関連リンク
PR
関連記事
米政府機関の62%が個人所有の機器による仕事を許可 - 低コスト化実現するBYODを検討
JPCERT/CC、スマホ向けに一部コンテンツを最適化
IPA、脆弱性検出技術「ファジング」の活用ガイドを公開 - 実証実験では深刻な脆弱性を発見
「幹部の理解が得られない」 - IPA、自治体が抱える脆弱性対策の課題を解決するためのガイドを公開
JPRS、年次報告書「JPドメイン名レジストリレポート2011」を公開
組織が優先的に対応すべき脅威を有識者が順位付け
有識者がもっとも注目した2011年の脅威は「標的型攻撃」 - 「震災」「アノニマス」問題も上位に
IPA、ウェブアプリ脆弱性対策講座に「マッシュアップ」の解説を追加
GMOグローバルサイン、国際的なSSLサーバ証明書発行ガイドラインの和訳版を公開
エフセキュア、販売パートナー向けに販促支援ツールを提供
