IPA「安全なウェブサイトの作り方」を取り入れた脆弱性対策

「安全なウェブサイトの作り方」をご存じでしょうか。
「安全なウェブサイトの作り方」とは、IPA（情報処理推進機構）が届出が多かった脆弱性の情報をもとに攻撃による影響度が高い脆弱性を取り上げて、セキュリティを適切に考慮したWebサイトを作るための資料です。

安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/vuln/websecurity/about.html

以下は「安全なウェブサイトの作り方」を脆弱性ごとに抜粋した内容です。

• 1.1 SQLインジェクション
• 1.2 OSコマンド・インジェクション
• 1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル
• 1.4 セッション管理の不備
• 1.5 クロスサイト・スクリプティング
• 1.6 CSRF（クロスサイト・リクエスト・フォージェリ）
• 1.7 HTTPヘッダ・インジェクション
• 1.8 メールヘッダ・インジェクション
• 1.9 クリックジャッキング
• 1.10 バッファオーバーフロー
• 1.11 アクセス制御や認可制御の欠落

「安全なウェブサイトの作り方」では、「ウェブアプリケーションのセキュリティ実装 チェックリスト」を公開しています。
チェックリストでは、各脆弱性の解説や解決方法が掲載されています。

ウェブアプリケーションのセキュリティ実装 チェックリストから抜粋

今回はこちらのチェックリストを使って、Jtest に搭載されているルールとの対応表の一部をご紹介します。
以下はSQLインジェクションの脆弱性に対する、実施項目ごとに対応が可能なJtest  のルールとマッピングしています。
一部、コード解析では対策ができない項目についてはJtest ルールでの対応は✖となっています。

ウェブアプリケーションのセキュリティ実装 チェックリストとJtest ルールをマッピング

テクマトリックスでは、今回ご紹介しているSQLインジェクション以外の脆弱性についてもルールのマッピングを実施して対応表を作成しております。ご興味のある方はぜひお問い合わせください。
既にJtest をご利用中の場合、ルールリスト（テストコンフィギュレーション）についてもご提供可能ですので、お気軽にお問い合わせください。

Jtest に関するお問い合わせはこちら↓↓↓

2024/03/08（金）にウェブアプリケーションのセキュリティ対策にご興味がある方におススメのセミナーを開催いたします。

次のようなお悩みをお持ちの方におすすめのセミナーです。

• 脆弱性を簡単に検知する方法を知りたい…
• 脆弱性の作りこみを防止したい…
• セキュリティ技術の情報を収集したい…

セミナーの詳細はこちら↓↓↓