Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱性含むウェブアプリの失敗ソースコードを勉強できる資料 - IPA

情報処理推進機構(IPA)は、安全なウェブサイトを構築する際に役立つ資料について改訂を実施した。

今回改訂を実施したのは、「安全なウェブサイトの作り方」。同機構へ届け出が多かった脆弱性や攻撃について解説する資料で、第4版となった。

従来より「SQLインジェクション」「クロスサイトスクリプティング」に関する「失敗例」を紹介していたが、さらに「OSコマンドインジェクション」「パス名パラメータの未チェック」「クロスサイトリクエストフォージェリ」「HTTPヘッダインジェクション」の4種類を追加した。

各脆弱性について、失敗例のソースコードを解説。修正例についても参照できる。また、ウェブアプリケーションに対する攻撃を防御する「WAF(ウェブアプリケーションファイアウォール)」の活用に関する解説も盛り込んだ。セキュリティ実装の実施状況を確認するためのチェックリストも用意している。

(Security NEXT - 2010/01/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

IPA、サイト脆弱性対策ガイドを改訂 - 一見問題なくとも脆弱性対策を
個情委、LINEとZHDに立ち入り検査 - 報告内容を現地確認
秘密計算技術で研究会、安全性基準など検討 - NECら
アクセス制御技術の研究開発情報を募集 - 政府
標的型攻撃のレスキュー支援、2020年上半期は45件
Androidアプリのセキュア設計ガイドに改訂版 - 「Android 11」に対応
関連インシデントもわかる情報リテラシー啓発資料 - ラック
テレワーク増えるコロナ禍のCSIRT対応プラクティス集
政府、中小企業向けにテレワークセキュ対策の手引 - 予算少ない組織も想定
「情報セキュリティ白書2020」が発刊 - 無料のPDF版も用意