ハニーポッターの部屋 このページをアンテナに追加 RSSフィード Twitter

QLOOKアクセス解析

2011-06-13 初心者Webアプリケーション開発者がチェックすべき情報源2011 このエントリーを含むブックマーク このエントリーのブックマークコメント

毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。

上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。

徳丸本を必須に入れるか迷ったけど、あの厚さは、万人は読めないので、上位ランクだけど必須からははずした。

★Webサイト構築
安全なウェブサイトの作り方 改訂第5版
http://www.ipa.go.jp/security/vuln/websecurity.html
携帯ウェブサイトの実装方法を追加
セキュリティ実装 チェックリスト(Excel形式、33KB) 
安全なSQLの呼び出し方(全40ページ、714KB) 


★発注仕様
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書
http://www.tricorder.jp/security_requirement.html

「Web システム セキュリティ要求仕様(RFP)」編 β 版
http://www.jnsa.org/active/2005/active2005_1_4a.html


■書籍
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
http://www.amazon.co.jp/dp/4797361190/connect24h-22/
徳丸 浩 (著) ,価格:¥3,360


■Webアプリケーション開発
セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
セキュプログラミング講座(旧版) 
WEBプログラマコース 
http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a00.html
新版にはプログラム例がごっそりに受けているので、初心者向けとしては情報の断裂があると思う。
旧版で見て、そのあとに新版も押さえておきましょう。

Webアプリケーションにセキュリティホールを作らないための
クロスサイトスクリプティング対策の基本
〜クロスサイトスクリプティング脆弱性とは?〜 
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html
http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html

Webアプリケーションに潜むセキュリティホール 
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html
第1回 サーバのファイルが丸見え?! 
第2回 顧客データがすべて盗まれる?! 
第3回 気を付けたい貧弱なセッション管理 
第4回 エラーメッセージの危険性 
第5回 Webアプリケーションの検査テクニック 
第6回 Webサイトのセッションまわりを調べる方法 
第7回 攻撃されないためのセッション管理の検査方法 
第8回 Webサイトの問い合わせ画面に含まれる脆弱性 
第9回 オンラインショッピングにおける脆弱性の注意点 
第10回 安全なWebアプリケーション開発のススメ 
第11回 Webアプリケーションファイアウォールによる防御 
第12回 mod_securityのXSS対策ルールを作成する 
第13回 OSコマンドインジェクションを防ぐルールを作成する 
最終回 Webアプリケーションの脆弱性を総括する 

Webアプリにおける11の脆弱性の常識と対策
http://www.atmarkit.co.jp/fjava/rensai4/webjousiki11/webjousiki11_1.html

脆弱なWebアプリケーション
http://thinkit.co.jp/free/tech/7/1/1.html
旧版IPA ISEC『セキュア・プログラミング講座』著者の長谷川さんの記事。
第1回 Webアプリケーションの脆弱性  
第2回 ファイル流出  
第3回 パラメータからの情報流出  
第4回 セッション乗っ取り  
第5回 インジェクション攻撃  
第6回 各種の問題  


■Webセキュリティ診断
OWASP Guide 1.1.1 日本語訳
https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287 

OWASP Top 10 - 2010
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf

安全な Web アプリ開発の鉄則 2006
http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/T21.pdf
高木先生。コンテンツとしては古いけど、今でも色あせていない。

自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
http://www.slideshare.net/uenosen/web-2010-3241609

LASDEC ウェブ健康診断
http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
平成22年度版ウェブ健康診断仕様 Internet公開用
(別紙)平成22年度ウェブ健康診断報告書フォーマット