ソフトウェアセキュリティ
Web
- Webのセキュリティに役立つWebサービス
- WebサイトのSSL化には Upgrade-Insecure-Requests を使いましょう
- ウェブサイトの完全 SSL/TLS 化が進んでいる
- JVN iPediaに載っていた脆弱性を調査する
- Webサイト/スマートフォンに関するセキュリティインシデント情報
- IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例
- ドメインに関して気を付けること
Let’s Encrypt
動作検証などのために作ったサンプルページ
Webプログラミング一般
- JavaScript とHTML5のセキュリティ対策
- PHPのセキュリティ対策
- Laravel 5 でのセキュリティ対策 (PHP)
- IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント」の重要な部分を抜粋する
- PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか?
- クリックジャッキング(Clickjacking)対策
- CSP(Contents Security Policy)の記述例
- HTML Purifier の使い方
- OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました
IPA「安全なウェブサイトの作り方 第7版」関連
安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 という非常に有益な資料があるのですが、なぜかPDFでしか公開されていないため手軽に見られません。そこで、以下のページに重要な部分を抜粋しました。
- クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」
- SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」
- パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」
- OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
- CSRF(クロスサイト・リクエスト・フォージェリ) by IPA「安全なウェブサイトの作り方 第7版」
- セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」
- バッファオーバーフロー by IPA「安全なウェブサイトの作り方 第7版」
- HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
- クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」
- メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
- ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」
- ウェブサイトの安全性向上のための取り組み – フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方 第7版」