Webアプリケーションを作る前に知るべき 10の脆弱性
http://www.atmarkit.co.jp/fsecurity/column/ueno/47.html
- クロスサイトスクリプティング(XSS)
- インジェクションの欠陥
- 悪意のあるファイルを読み込んで実行
- オブジェクトの直接参照
- クロスサイトリクエストフォージェリ
- 設定情報などの漏えい、不適切なエラーハンドリング
- 不適切な認証やセッション管理
- 暗号の使い方が不適切
- 通信方法が不適切
- URLへのアクセス制限の不備
項目だけ並べるとこんな感じ。どれもおなじみの項目ですが、一部は具体的な対策まで考えたことがないものもあるなぁ。
いずれにせよこういうリストは完全に網羅されているわけではないけれども、ベースラインの検討資料としては使いやすいと思う。