セキュリティ

ソフトウェアセキュリティ

• ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次
• 「秘密の質問」機能について
• セキュリティに関連するリンク集

Web

• Webのセキュリティに役立つWebサービス
• WebサイトのSSL化には Upgrade-Insecure-Requests を使いましょう
• ウェブサイトの完全 SSL/TLS 化が進んでいる
• JVN iPediaに載っていた脆弱性を調査する
• Webサイト/スマートフォンに関するセキュリティインシデント情報
• IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例
• ドメインに関して気を付けること

Let’s Encrypt

• Let’s Encrypt を使ってみました
• Let’s Encrypt で ‘-0001’ がついた証明書データを削除する方法
• Let’s Encrypt でワイルドカードを使う

動作検証などのために作ったサンプルページ

• XSS Test1

Webプログラミング一般

• JavaScript とHTML5のセキュリティ対策
• PHPのセキュリティ対策
• Laravel 5 でのセキュリティ対策 (PHP)
• IPA の「CMSを用いたウェブサイト構築における情報セキュリティ対策　4つのポイント」の重要な部分を抜粋する
• PHPの各PDOドライバは、静的プレースホルダ/動的プレースホルダのどちらを使用しているのか？
• クリックジャッキング(Clickjacking)対策
• CSP（Contents Security Policy）の記述例
• HTML Purifier の使い方
• OWASPによる脆弱性対策に関するページ(www.owasp.org)を調べてみました

IPA「安全なウェブサイトの作り方 第7版」関連

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構 という非常に有益な資料があるのですが、なぜかPDFでしか公開されていないため手軽に見られません。そこで、以下のページに重要な部分を抜粋しました。

• クロスサイト・スクリプティング対策 by IPA「安全なウェブサイトの作り方 第7版」
• SQLインジェクション対策 by IPA「安全なウェブサイトの作り方 第7版」
• パス名パラメータの未チェック/ディレクトリ・トラバーサル by IPA「安全なウェブサイトの作り方 第7版」
• OS コマンド・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
• CSRF(クロスサイト・リクエスト・フォージェリ) by IPA「安全なウェブサイトの作り方 第7版」
• セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」
• バッファオーバーフロー by IPA「安全なウェブサイトの作り方 第7版」
• HTTP ヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
• クリックジャッキング by IPA「安全なウェブサイトの作り方 第7版」
• メールヘッダ・インジェクション by IPA「安全なウェブサイトの作り方 第7版」
• ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」
• ウェブサイトの安全性向上のための取り組み – フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方 第7版」

関連

[G-AD-IN-ARTICLE]