「安全なウェブサイトの作り方 改訂第5版」公開
IPAセキュリティセンターから「安全なウェブサイトの作り方 改訂第5版」が公開されています。
この改訂版では、「かんたんログイン」など携帯サイトについて、追加で取り上げられていますね。
「安全なウェブサイトの作り方」改訂第5版の内容
・第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等9種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。
・第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバのセキュリティ対策やフィッシング詐欺を助長しないための対策等7つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。
・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。
・巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。
「安全なウェブサイトの作り方 改訂第5版」の主な改訂内容
1.「携帯ウェブ向けのサイトにおける注意点」を追加
・携帯サイトの開発者・運営者が注意する点として、下記4項目を追加しました。
・携帯IDの使用に関する注意点。いわゆる「かんたんログイン」の危険性と、その代替策。
・セッション管理に関する注意点。セッションIDの格納場所に関する検討事項。
・クロスサイト・スクリプティングに関する注意点。携帯サイトにおける対策の必要性。
・認証情報に関する注意点。短く単純な暗証番号等の危険性。2.失敗例を2項目追加
・不適切なセッション管理の例
・メールヘッダ・インジェクションの例
<公開資料>
「安全なウェブサイトの作り方」 日本語版(2011年4月6日改訂第5版公開)
・安全なウェブサイトの作り方
・セキュリティ実装 チェックリスト
別冊:「安全なSQLの呼び出し方」日本語版(2010年3月18日公開)
・安全なSQLの呼び出し方
| 固定リンク
「お役立ちのイベント・資料・書籍・情報」カテゴリの記事
- 「スマートフォンのセキュリティ対策のしおり」公開(2011.11.02)
- 「情報化白書2012」発刊記念シンポジウム「生活情報化とセキュリティ」開催(2011.10.18)
- 「インターネット安全教室」ビデオ教材、リニューアル(2011.10.17)
- 「情報セキュリティシンポジウム道後2012」(2011.10.11)
- 「2011 日韓情報セキュリティシンポジウム」(2011.10.06)
この記事へのコメントは終了しました。
コメント