公開日:2007年6月28日
独立行政法人情報処理推進機構
セキュリティセンター
本ページの情報は2007年6月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。
以降の開発工程に基づく内容は、必ずしも理解し易い順番には説明されない。むしろ上流工程ほど難易度が高い論点が含まれている傾向がある。
そこで、あらかじめWebアプリケーションの脆弱性についての知識を確認されたい。
単純な論点から理解して、その上に高度な論点を関連づけて理解するのが効率的であるとともに、体系立った理解につながる。
まずは、HTTPのプロトコル仕様の基礎知識を確認した上で「SQL注入」や「スクリプト注入」の論点について学んでいただきたい。次に、セッションメカニズムについての基礎知識を確認した上で「セッションハイジャック(Session hijacking)」や「セッションフィクセーション(Sessionfixation:セッションIDのお膳立て)」の論点について学んでいただきたい。「アクセス認可の実装」についても学んでおく必要がある。
このような知識を確認するために下記の「ブートアップセミナー」の資料を活用していただきたい。