Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含むウェブアプリの失敗ソースコードを勉強できる資料 - IPA

情報処理推進機構(IPA)は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。

今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。

従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。

各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF(ウェブアプリケーションファイアウォール)」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。

(Security NEXT - 2010/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

JNSA、「経営者のための情報セキュリティ対策」を公開 - 「ISO 31000」を例に解説
ウェブサイト開設時に注意したいセキュリティのポイントを解説 - IPA
IoTセキュリティのガイドラインなどを整理したハンドブック - JNSA
「CISOハンドブック」が公開 - 経営視点に立った業務執行ノウハウを収録
「SSL/TLS暗号設定ガイドライン Ver.2.0」を公開 - IPA
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
JSSEC、IoT導入企業向けのセキュリティチェックシートを公開
個人情報保護委と経産省、GDPR対応へ向けた参考資料を公開
「添付ファイルでマルウェア感染?」「PCの動作が変?」 - まずは調査を
制御システムのセーフティとセキュリティ実現に向けたガイド - IPA