- 2006年11月 4日 13:38
- IT | WEBアプリケーション
独立行政法人情報処理推進機構(IPA)より安全なウェブサイトの作り方 改訂第2版が公開されました。
http://www.ipa.go.jp/security/vuln/websecurity.html
CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加されている。
WEBアプリケーション開発でのセキュリティ対策について、基本的なことがイラスト付でわかりやすく説明してあります。
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方 改訂第 2版」を2006年11月1日(水)より、IPAセキュリティセンターのウェブサイト上で公開しました。
http://www.ipa.go.jp/security/vuln/documents/website_security.pdf
1. ウェブアプリケーションのセキュリティ実装
1.1 SQL インジェクション
1.2 OS コマンド・インジェクション
1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
1.4 セッション管理の不備
1.5 クロスサイト・スクリプティング
1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTP ヘッダ・インジェクション
1.8 メールの第三者中継
2. ウェブサイトの安全性向上のための取り組み
2.1 ウェブサーバのセキュリティ対策
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
1.1 SQL インジェクション
1.2 OS コマンド・インジェクション
1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル
1.4 セッション管理の不備
1.5 クロスサイト・スクリプティング
1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTP ヘッダ・インジェクション
1.8 メールの第三者中継
2. ウェブサイトの安全性向上のための取り組み
2.1 ウェブサーバのセキュリティ対策
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策