この版は2007年から公開を開始した旧版です。
新版は次のリンクより参照してください。
HOME
総論
総論と対策の分類
基礎知識の確認
開発工程と脆弱性対策
より良いWebアプリケーション設計のヒント
マッシュアップにおけるセキュアプログラミング
アクセス制御
ユーザ認証
#1
ユーザ認証を自製する場合
#2
ユーザ認証を外部化する場合
アクセス認可
サイトデザインにかかわる対策
フレームワークの選択
メールの第三者中継対策
真正性の主張
セッション対策
リクエスト強要(CSRF)対策
セッション乗っ取り:
#1
セッションIDとその侵害手口
#2
セッションIDの強度を高める
#3
https:の適切な適用
#4
セッションIDのお膳立て
#5
兆候の警戒と被害の不拡大
想定外ナビゲーション対策
暴露対策
Webサーバからのファイル流出対策
プログラムからのファイル流出対策
コンテンツ間パラメータ対策
デバッグオプション対策
プロキシキャッシュ対策
入力・注入対策
入力対策
コマンド注入攻撃対策
SQL注入攻撃:
#1
実装における対策
#2
設定における対策
エコーバック対策
スクリプト注入:
#1
ふたつの攻撃
#2
対策
HTTPレスポンスによるキャッシュ偽造攻撃対策
マッシュアップ
WebサービスとマッシュアップAPI
クライアントサイドマッシュアップ
#1
クライアントサイドマッシュアップをめぐる脅威
#2
悪意のAPIサイトからの脅威
#3
クライアント側コードに起因するスクリプト注入対策
#4
リクエスト強要攻撃による善意のAPIへの侵害
#5
対策に利用できる技術
Webコンテンツの源泉概念
サーバサイドマッシュアップ
マッシュアップとJavaScript
セキュリティトークンとOAuth 2.0
Web関連技術
WebSocket
CAPTCHA
