「安全なウェブサイトの作り方」改訂、Webアプリの失敗例を拡充

「安全なウェブサイトの作り方」改訂第4版

　情報処理推進機構（IPA）は20日、「安全なウェブサイトの作り方」の改訂第4版を公開した。IPAのサイトから、PDFで無償でダウンロードできる。

　「安全なウェブサイトの作り方」は、サイト開発者・運営者が適切なセキュリティを考慮したサイトを作成するための資料としてとりまとめたもの。SQLインジェクションやOSコマンドインジェクション、クロスサイトスクリプティング（XSS）など、IPAへの届け出の多かった脆弱性や、攻撃による影響が大きい脆弱性を取り上げ、生じうる脅威や対策について解説している。

　第1版は2006年1月に公開。その後、2008年3月公開の第3版において、「失敗例」として、脆弱性のあるWebアプリケーションのソースコードや修正例を解説する章を追加している。

　さらに今回の第4版では、失敗例を拡充した。従来のSQLインジェクションとXSSに関する失敗例に加えて、OSコマンドインジェクション、パス名パラメーターの未チェック、クロスサイトリクエストフォージェリ、HTTPヘッダーインジェクションの4種類の脆弱性に関する失敗例を追加した。