総論
総論と対策の分類
開発工程と脆弱性対策
より良いWebアプリケーション設計のヒント
Webアプリケーションフレームワーク
マッシュアップにおけるセキュアプログラミング
アクセス制御対策
ユーザ認証対策
アクセス認可対策
サイトデザインにかかわる対策
メールの第三者中継対策
真正性の主張
セッション対策
リクエスト強要(CSRF)対策
セッション乗っ取り:
#1
セッションIDとその侵害手口
#2
セッションIDの強度を高める
#3
https:の適切な適用
#4
セッションIDのお膳立て
#5
兆候の警戒と被害の不拡大
想定外ナビゲーション対策
暴露対策
Webサーバからのファイル流出対策
プログラムからのファイル流出対策
コンテンツ間パラメータ対策
デバッグオプション対策
プロキシキャッシュ対策
入力対策
コマンド注入攻撃対策
SQL注入:
#1
実装における対策
#2
設定における対策
入力検査漏れ対策
エコーバック対策
スクリプト注入
#1
対策
#2
攻撃の解説
HTTPレスポンスによるキャッシュ偽造攻撃対策
マッシュアップ
WebサービスとマッシュアップAPI
クライアントサイドマッシュアップ
#1
クライアントサイドマッシュアップをめぐる脅威
#2
悪意のAPIサイトからの脅威
#3
リクエスト強要攻撃による善意のAPIへの侵害
#4
対策に利用できる技術
Webコンテンツの源泉概念
サーバサイドマッシュアップ
マッシュアップとJavaScript
セキュリティトークンとOAuth 2.0
