安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加しました。
　また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策を新たな節として追加しました。
　本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。

第2版と比較しての大きな違いは、上記にある通りだが、他にも細かいところでかなり変更されているもよう。

• セキュアプログラミング講座が新しくなったので、それにあわせて参考URLが修正された。
• SQLインジェクション対策の説明が少し詳しくなった。
• クロスサイトスクリプティング対策で、文字コード指定の記述が追加された。これはUTF-7によるXSSなどの脆弱性を意識したもの。
• クロスサイトスクリプティング対策で、Traceメソッドの無効化とCookieのHTTPOnly属性についての記述が追加された。これはXST脆弱性を意識したもの。
• フィッシング対策の説明が少し詳しくなった。

目玉となる「失敗例」には、SQLインジェクションの例として

• PHP + PosgreSQL
• PHP + MySQL
• Perl(DBI)

という具体的な実装例で説明されている。

またXSSの例では、

• エスケープ処理の未実施や洩れ
• 文字コードの未指定
• 入力フォーム制限の間違い

などの具体例が説明されている。

なかなかいい感じの内容に仕上っていて非常に有用。開発者は必読。