Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含むウェブアプリの失敗ソースコードを勉強できる資料 - IPA

情報処理推進機構(IPA)は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。

今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。

従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。

各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF(ウェブアプリケーションファイアウォール)」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。

(Security NEXT - 2010/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

産業制御システムのインシデント対応に必要な機能を解説した手引書
Android 14の変更点をカバー - セキュアコーディングガイド新版
IPA、「情報セキュリティ10大脅威 2024」の解説書を公開 - 活用法なども紹介
サポート詐欺への対応不備で長野県教委に行政指導 - 個情委
ネット偽情報対策の取り組みに関する意見を募集 - 総務省
サイバー攻撃の情報共有で報告書 - 関連文書のパブコメも
アクセス制御機能の研究開発情報を募集開始 - 政府
「情報セキュリティ白書2023」を7月25日に発売 - PDF版も公開予定
「DNS不正利用」のインシデント対応を支援する資料 - JPCERT/CC
ネット経由の攻撃リスクを管理する「ASM」の解説資料 - 経産省