安全なウェブサイトの作り方第4版が出たそうです。

2010年1月20日
改訂第4版を掲載

安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

失敗例とWAFの話が追加になったそうです。

今回の改訂第4 版では、実践的な脆弱性対策の更なる普及促進のため、「失敗例」を拡充しました。前版
のSQL インジェクション2とクロスサイト・スクリプティング3に関する失敗例に加え、改訂第4 版ではOS コマ
ンド・インジェクション4、パス名パラメータの未チェック5、クロスサイト・リクエスト・フォージェリ6、HTTP ヘッダ・
インジェクション7の4 種類の脆弱性に関する失敗例を第3 章に追記しました。これらは、ウェブアプリケーショ
ン8開発に携わるベンダにおける脆弱性の事例を参考にしています。
また新たに、WAF（Web Application Firewall）9の活用に関して、WAF の動作原理、WAF の使用が有効
な状況、導入検討における留意点を第2 章に追記しました。

http://www.ipa.go.jp/security/vuln/documents/websecurity_press.pdf

関連URL

• 「安全なウェブサイトの作り方」改訂、Webアプリの失敗例を拡充 -INTERNET Watch