メルマガ購読
独立行政法人 情報処理推進機構(IPA)は6日、「安全なウェブサイトの作り方 改訂第 3版」を公開した。
「安全なウェブサイトの作り方」は、ウェブサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするため、IPAが届出を受けた脆弱性関連情報を基に作成した資料集。届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性が取り上げられている。
今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」が第3章に追加された。また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策が新たな節として追加された。本資料で取り上げられている内容は、ウェブサイトに関する届出件数の約9割を網羅しているとのこと。
第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティングなど9つの項目について、根本的な解決策、保険的な対策が説明されている。
第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策など5つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させる対策が示されている。
第3章では、「失敗例」として、SQLインジェクションとクロスサイト・スクリプティングの脆弱性が取り上げられている。
巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付与されている。
IPA、「安全なウェブサイトの作り方」(改訂第3版)を公開〜SQLインジェクションなどの脆弱性事例を追加
2008年3月7日(金) 16時25分
SQL インジェクション
クロスサイト・スクリプティング
チェックリスト
チェックリスト
《冨岡晶》
注目ニュース
独立行政法人 情報処理推進機構(IPA)は28日に、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイドなどのドキュメントをIPAのウェブ...
独立行政法人 情報処理推進機構(IPA)は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。
情報処理推進機構は4日、2008年1月のコンピュータウイルス・不正アクセスの届出状況のまとめを発表した。
独立行政法人 情報処理推進機構(IPA)は29日に、「複数の組込み機器の組み合わせに関するセキュリティ調査報告書」と題する文書をIPAのウェブサイトで公開した。報告書本体49ページ、付録55ページが...
情報処理推進機構(IPA)は28日、ファイアウォールルーター「SRT100」、ブロードバンドVoIPルーター「RT58i」、イーサアクセスVPNルーター「RTX1100」など複数のヤマハ製ルーターに...
ヤフーは、インターネットの安全な利用の啓発を目的とした特集サイト「セキュリティ特集2008春〜止まらない情報漏えい、進化した詐欺、子どもが危ない〜」を公開中。
ミラポイントジャパンは28日、Fibre-Channel SAN対応モデル「Mirapoint Message Server 6000-SAN Edition」、ハイエンドモデル「Mirapoint...
独立行政法人 情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、18日に共同で、「ソフトウエア等の脆弱性関連情報に関する届出状況 [20...
