Dec 06, 2005

[Misc] Web アプリケーションのセキュリティに関する情報源をメモ

Web アプリケーションのセキュリティに関するリソースをリストアップ。 オンラインコンテンツだけでも結構な量なので、書籍はとりあえずパス。

リンク集

セキュリティエンジニアリング
http://www.ipa.go.jp/security/awareness/vendor/software.html
(無断リンク、ディープリンク禁止なのでリンクしない)

一般論 - 総合

The World Wide Web Security FAQ
http://www.w3.org/Security/Faq/001031wwwsfj.ja.sjis.html
Web アプリケーションの脆弱性 トップ10 2004 Update
http://prdownloads.sourceforge.net/owasp/OWASP_Top_Ten_2004_Japanese.pdf?download
WEBセキュアプログラミング ~脆弱性を作らないWEBアプリ開発~
http://www.soi.wide.ad.jp/class/20020036/slides/19/index_1.html
インターネットセキュリティに関する RFC の日本語訳
http://www.ipa.go.jp/security/rfc/RFC.html
JNSAセキュアシステム開発ガイドライン 「Webシステム セキュリティ要求仕様(RFP)」編 β版
http://www.jnsa.org/active/2005/active2005_1_4a.html
ISO/IEC 15408 の翻訳文書
http://www.ipa.go.jp/security/jisec/evalbs.html
RFC 2109 - HTTP State Management Mechanism (4.2.2 に Cookie の secure 属性に関する記述)
http://www.ietf.org/rfc/rfc2109.txt

一般論 - クロスサイトスクリプティング脆弱性

Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
http://www.ipa.go.jp/security/ciadr/20011023css.html
クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策
http://securit.gtrc.aist.go.jp/research/paper/css2001-takagi-dist.pdf
Cross-Site Scripting Vulnerabilities
http://www.cert.org/archive/pdf/cross_site_scripting.pdf
なぜCSSXSSに抜本的に対策をとることが難しいか
http://tdiary.ishinao.net/20060331.html#p01

一般論 - クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
http://takagi-hiromitsu.jp/diary/20050427.html#p01
CSRF - クロスサイトリクエストフォージェリ
http://d.hatena.ne.jp/hoshikuzu/20050130#D20050130CSRF
開発者のための正しいCSRF対策
http://www.jumperz.net/texts/csrf.htm

プログラミング - Java

セキュア・プログラミング講座
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
セキュア・プログラミング講座 2- J2EE
http://www.ipa.go.jp/security/fy14/contents/trusted-os/programming-2.pdf
Software Vulnerabilities in Java
http://www.sei.cmu.edu/publications/documents/05.reports/05tn044.html

Posted in Misc | このエントリーをはてなブックマークに追加 | この記事をクリップ! livedoor クリップ |