IPA、「安全なウェブサイトの作り方 改訂第4版」を公開 | OSDN Magazine情報処理推進機構(IPA)は2010年1月20日、Webサイト開発者・運営者が適切なセキュリティを考慮したWebサイトを作成するためのドキュメントの新版「安全なウェブサイトの作り方 改訂第4版」を公開した。とくに実践的な脆弱性対策を普及させるため、具体的な「失敗例」を従来版よりも拡充した。PDF形式で、自由にダウンロードできる。 IPAが受けた脆弱性関連の届け出の情報を基に作成した資料。件数や影響度が大きい脆弱性を取り上げて、それぞれの脅威の特徴や根本的な解決策、攻撃の影響軽減を期待できる対策などを解説する。改訂第4版は「ウェブアプリケーションのセキュリティ実装」「ウェブサイトの安全性向上のための取り組み」「失敗例」の3章構成。 失敗例では、「OSコマンド・インジェクション」「パス名パラメータの未チェック」「クロスサイト・リクエスト・フォージェリ」「HTTPヘッダ・インジェクション」の4種
