 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
SQLインジェクションとXSSの失敗例を示した「安全なウェブサイトの作り方 改訂第3版」 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
独立行政法人 情報処理推進機構(IPA)は3月6日、Webサイト開発者・運営者が適切なセキュリティを考慮した実装ができるようにするための資料として、「安全なウェブサイトの作り方 改訂第3版」を発表した。同日からIPAのWebサイト上で公開されている。 改訂第3版では、SQLインジェクションとクロスサイトスクリプティング(XSS)の脆弱性に関して、具体的な7つの失敗例を追加したほか、「アクセス制御や認可制御の欠落」に関する根本的解決策を新たに示した。 第1章では「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンドインジェクション、XSSなど9つの項目を取り上げ、それぞれの脆弱性で発生しうる脅威や注意点を解説。「アクセス制御や認可制御の欠落」に関する根本的解決策はここに追加されている。 第2章では「ウェブサイトの安全性向上のための取り組み」として、Webサーバーのセキュリティ対策やフィッシング詐欺を助長しないための対策などが、5つの項目で取り上げられている。 第3章では、失敗例として、SQLインジェクションおよびXSS脆弱性が実際に存在したWebアプリケーションについて、具体的な問題コード、解説、修正例を示している。 巻末には、セキュリティ実装状況を確認するためのチェックリストを記載している。 なお同資料では、Webサイトに関する届出件数の約9割を網羅しているという。 ■ URL 独立行政法人 情報処理推進機構 http://www.ipa.go.jp/ ニュースリリース http://www.ipa.go.jp/security/vuln/websecurity.html
( 川島 弘之 )
|
