初心者Webアプリケーション開発者がチェックすべき情報源2012
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。
上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。
徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。
あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。
★Webサイト構築 安全なウェブサイトの作り方 改訂第5版第2刷 http://www.ipa.go.jp/security/vuln/websecurity.html 携帯ウェブサイトの実装方法を追加 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ★発注仕様 発注者のためのWebシステム/Webアプリケーション セキュリティ要件書 http://www.tricorder.jp/security_requirement.html クリエイティブコモンズ・ライセンス 「Web システム セキュリティ要求仕様(RFP)」編 β 版 http://www.jnsa.org/active/2005/active2005_1_4a.html ★書籍 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 http://www.amazon.co.jp/dp/4797361190/connect24h-22/ 徳丸 浩 (著) ,価格:¥3,360 電子書籍版もあるので,スマフォに常備とかよいかも。 ■Webアプリケーション開発 セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/vendor/programming/index.html セキュプログラミング講座(旧版) WEBプログラマコース http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a00.html 新版にはプログラム例がごっそりに受けているので、初心者向けとしては情報の断裂があると思う。 旧版で見て、そのあとに新版も押さえておきましょう。 Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本 〜クロスサイトスクリプティング脆弱性とは?〜 http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html Webアプリケーションに潜むセキュリティホール http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 Webサイトの問い合わせ画面に含まれる脆弱性 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する 最終回 Webアプリケーションの脆弱性を総括する Webアプリにおける11の脆弱性の常識と対策 http://www.atmarkit.co.jp/fjava/rensai4/webjousiki11/webjousiki11_1.html 脆弱なWebアプリケーション http://thinkit.co.jp/free/tech/7/1/1.html 旧版IPA ISEC『セキュア・プログラミング講座』著者の長谷川さんの記事。 第1回 Webアプリケーションの脆弱性 第2回 ファイル流出 第3回 パラメータからの情報流出 第4回 セッション乗っ取り 第5回 インジェクション攻撃 第6回 各種の問題 ■携帯Web ケータイWebのセキュリティ 第1回 「PCでは見えないはず」に頼ることの危険性 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb01/keitaiweb01.html 第2回 間違いだらけの「かんたんログイン」実装法 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html 第3回 実は厄介、ケータイWebのセッション管理 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb03/keitaiweb01.html 最終回 ケータイWebの今後を安全に保つには http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb04/keitaiweb01.html ちょっと古いが、ガラケーからスマートフォンへの移行で情報の隔絶が おこりそうなのであえて掲載。 ■Webセキュリティ診断 OWASP Guide 1.1.1 日本語訳 https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287 OWASP Top 10 - 2010 http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf 和訳 安全な Web アプリ開発の鉄則 2006 http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/T21.pdf 高木先生のプレゼン資料。コンテンツとしては古いけど、今でも色あせていない。 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010 http://www.slideshare.net/uenosen/web-2010-3241609 LASDEC ウェブ健康診断 https://www.lasdec.or.jp/cms/12,1284.html 平成23年度版はなし 平成22年度版ウェブ健康診断仕様 Internet公開用 (別紙)平成22年度ウェブ健康診断報告書フォーマット 最低限のチートシートとして。 以下、解説なしで見てわかる人向け。 書いてあることの意味がわからなかったら、徳丸本を読め。 ■ツール類 Fiddler2 Web DeBugger http://fiddler2.com/fiddler2/ Local Proxy Web DeBugger MSのIEの中のひと作。徳丸本でも定番。 Windows限定。 "XSStest21" [Fiddler2 Extension] by yamagata21 http://yamagata.int21h.jp/tool/XSStest21/ 試してないけどFiddler2の拡張追加機能。yamagata21さん作。 FiddlerとWatcherでWebサイトのセキュリティをチェックする http://news.mynavi.jp/articles/2010/04/21/fiddler/index.html Watcher http://websecuritytool.codeplex.com/ Web-security scanner BurpSuite http://portswigger.net/burp/ Local Proxy Web DeBugger Pro版はスキャナ付き。多機能すぎてかえってチューニング難しい。 Pangolin – Automatic SQL Injection Tool http://nosec.org/en/productservice/pangolin/ まともなSQL Injectionスキャナ。悪用厳禁。テスト環境のみ使用推奨。 外で使うと一発アウトです。 使い方 http://www.youtube.com/results?search_query=Pangolin+Automatic+SQL+Injection+Tool&oq=Pangolin+Automatic+SQL+Injection+Tool&gs_l=youtube.3...2479.3181.0.3550.3.3.0.0.0.0.78.221.3.3.0...0.0...1ac.EuR1dW5I8U4 XAMPP DVWA http://www.dvwa.co.uk/ http://code.google.com/p/dvwa/ http://code.google.com/p/dvwa/wiki/README やられWebサーバ。 何ができるの? http://www.youtube.com/watch?v=oMV0JZVxvdQ SQL Injection DB http://websec.ca/kb/sql_injection チートシート作成用の参考に ■パーセントエンコード パーセントエンコードコンバータ http://www.tagindex.com/cgi-lib/encode/url.cgi URLエンコード・デコードツール「URLDecEnc」v1.01 http://www.forest.impress.co.jp/article/2008/02/14/okiniiri.html
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2011/03/01
- メディア: 単行本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (146件) を見る