2014-07-12 初心者Webアプリケーション開発者がチェックすべき情報源2014 
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。
去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。
上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。
必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。
書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載。
「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を追加。
■重点 ★Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わった。標準チートシートとして使える。 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ウェブ健康診断仕様(全30ページ、784KB) ★発注仕様 OWASP Web システム/Web アプリケーションセキュリティ要件書 https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf ただし、また上野宣。 ★書籍 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 http://www.amazon.co.jp/dp/4797361190/ 徳丸 浩 (著) ,価格:¥3,360 電子書籍版もある。 めんどうくさいWebセキュリティ http://www.amazon.co.jp/dp/4798128090/ Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 実践 Fiddler http://www.amazon.co.jp/%E5%AE%9F%E8%B7%B5-Fiddler-Eric-Lawrence/dp/4873116163 Eric Lawrence (著), 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳) 価格:¥ 3,456 ★脆弱性 OWASP Top 10 2013 (日本語) https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf Webアプリケーションを作る前に知るべき10の脆弱性 ■セキュアWebアプリケーション開発 ★IPA セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 歴代プログラミング講座と、セミナー資料へのリンク集もあるから、Web開発のセキュリティプログラミングの ポータルてして学んでいくとよい。 特に旧プログラミング講座のほうがコーディング事例もあるので、より理解しやすい。 ★JPCERT:セキュアコーディング http://www.jpcert.or.jp/securecoding.html C/C++ セキュアコーディングセミナー資料 CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 翔泳社 Codezine 連載集 「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回) 実例で学ぶ脆弱性対策コーディング(全9回) HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 https://www.jpcert.or.jp/research/html5.html “誤認逮捕”を防ぐWebセキュリティ強化術 http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456762/ 遠隔操作ウイルス事案事例対策 [1]なりすましの攻撃手法 [2]CSRFとクロスサイトスクリプティング [3]HTTPヘッダーインジェクションとクリックジャッキング [4]DNSリバインディング [5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本 〜クロスサイトスクリプティング脆弱性とは?〜 http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html Webアプリケーションに潜むセキュリティホール http://www.atmarkit.co.jp/ait/kw/webapp_hisomu_securityhall.html 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 Webサイトの問い合わせ画面に含まれる脆弱性 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する 最終回 Webアプリケーションの脆弱性を総括する Webアプリにおける11の脆弱性の常識と対策 http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html クロスサイトスクリプティング対策の基本 http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html クロスサイトスクリプティング対策の基本(前編) クロスサイトスクリプティング対策の基本(中編) クロスサイトスクリプティング対策の基本(後編) ちょっと古いけど、安心の国分さんの記事なので掲載。 ■スマートフォンセキュリティ Javaセキュアコーディング入門 http://codezine.jp/article/corner/437 Androidアプリの配布パッケージapkの解析について Javaの参照型変数とセキュリティ スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について AndroidアプリにおけるDBファイルの正しい使い方 ハッシュテーブルに対する攻撃手法のはなし 整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正 ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正 Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果 イチから始める! Androidセキュリティ 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html スマートフォンで「できちゃうこと」って? ああああ知ってるつもりで知らない端末のほんとの挙動 デバッグ情報にご用心! 要注意! 本当は怖い出力データ 見せたくないなら「持たせない」が鉄則! Androidアプリのセキュア設計・セキュアコーディングガイド http://www.jssec.org/report/securecoding.html Android Security - 安全なアプリケーションを作成するために http://www.taosoftware.co.jp/android/android_security/ OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit http://www.slideshare.net/uenosen/web-2010-3241609