安全なウェブサイトの作り方 改訂第2版
IPAから「安全なウェブサイトの作り方 改訂第2版」がPDF形式で公開されました。
第2版には、
- SQLインジェクション
- OSコマンド・インジェクション
- パス名パラメータの未チェック/ディレクトリ・トラバーサル
- セッション管理の不備
- クロスサイト・スクリプティング
- CSRF(クロスサイト・リクエスト・フォージェリ)
- HTTPヘッダ・インジェクション
- メールの第三者中継
の各脆弱性について、
- 概要
- 攻撃を受けた場合の脅威
- 対象となるWebサイト
- 根本的な解決法
の順でまとめられています。「特定の言語向け」という訳ではありませんが、たとえば「PHPではどう実装すべきか」が見えてくると思います。また、Webサーバのセキュリティ対策やフィッシング詐欺についても触れられています。
巻末にあるチェックリストが非常に簡潔にまとめられているので、色々と重宝しそうです。
「安全なウェブサイトの作り方」は、IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料です。今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。また、ウェブアプリケーションの脆弱性について、新たに、CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加しました。本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。
さらに、巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストを追加しました。