脆弱性含むウェブアプリの失敗ソースコードを勉強できる資料 - IPA

情報処理推進機構（IPA）は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。

今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。

従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。

各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF（ウェブアプリケーションファイアウォール）」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。

（Security NEXT - 2010/01/26 ） ツイート

PR

関連記事

JNSA、生成AIの安全利用に向けて脅威や対策を整理
「脆弱性診断士のキャリアデザインガイド」を公開 - ISOG-J
IPA、「情報セキュリティ10大脅威 2025 組織編」の解説書を公開
Androidアプリ開発者向けセキュリティガイドに改訂版 - JSSEC
先週注目された記事（2025年1月19日〜2025年1月25日）
「MS 365」のログ活用、脅威検知分析を実現する資料 - 米当局
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
JPNIC、「RPKIを活用した不正経路対策ガイドライン」 - ISPに対策呼びかけ
ソフトウェア開発者のセキュリティ教育改善プラン - OpenSSF
システム管理者向け「脆弱性管理の手引書」を公開 - 日本シーサート協議会