情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
OWASP ZAPをプロキシとして使用し、リクエストを再現して脆弱性チェックする方法 | Lancork
※当ブログではアフィリエイト広告を利用しています。 ペネトレーションテストツール「OWASP ZAP」でWEBサイトの脆弱性を簡易チェックする方法は以前、エントリにまとめましたが、フォームで入力チェックを行っている場合などはその方法では脆弱性を検知できないことがあります。 そのような場合でも「OWASP ZAP」をプロキシとして使用し、リクエストを再現すれば脆弱性を検知できるため、その方法をまとめます。 OWASP ZAPの簡易チェック(Quick Start)で脆弱性が発見できないのはどんな場合? 以前のエントリで紹介した方法では、指定したURLにOWASP ZAPが自動的にスキャンをかけて脆弱性をチェックしました。 しかしお問い合わせフォームなどでプログラムの先頭のほうで値の入力チェックを行う場合などは入力チェックエラー等で処理が途中で終わることがあります。このような場合、本来脆弱性が
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
