SANS代表が紹介:Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ
SANS代表がWebアプリが攻撃を受けないためには、実装段階で脆弱性を排除すべきだと言っています。
「自社で用意したWebサイトやアプリケーションが攻撃されないためには、実装段階で脆弱性を排除すべきだろう」――このほど来日した米SANS Instituteのアラン・パーラー代表は、急増する企業のWebサイトや特定アプリケーションの脆弱性を狙った攻撃に対処策として、開発初期からセキュリティを強く意識していくことの重要性を呼びかけた。
Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ
任意に抽出したWebサイトのうち86%にクロスサイトスクリプティングが存在したそうです。
どうやって検査したんだろうねぇ・・・任意に抽出=あるプログラムが動作しているだったりしてw
SANSが任意に抽出した約3万サイトの脆弱性を調査したところ、約86%のサイトにクロスサイトスクリプティングの脆弱性が見つかった。「注目すべきことは、(サイト利用者が被害を受ければ)攻撃された企業自身にも責任が及ぶ点だ」とパーラー氏は話した。
Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ
お高いでしょうが、Secure Defaultな企業にお願いしちゃうってのも一つの手か・・・
「例えばインドの開発受託大手のTata Consultancy Serviciesは、コンサルタント自身がSecure Programing Consortiumで安全なプログラミング技術を習得し、認定を受けている。開発品質を顧客に証明するのが狙いだ」(パーラー氏)。ドイツのSiemensもこうした活動へ熱心だという。
Webサイトやカスタムアプリの脆弱性を見つけるには - ITmedia エンタープライズ