企業Webを作成する人もそうでない人も一読しておいたほうがよいと思います。
今回の改訂第2版では、各脆弱性について、より理解を深めていただくために、
攻撃により発生しうる脅威と、注意が必要なウェブサイトの特徴に関する情報を追記しました。
(略)
本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。
さらに、巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストを追加しました。
さっくり見た限り、44、45ページ目にあげられているチェックリストは、
1. SQL インジェクション
2. OSコマンド・インジェクション
3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
4. セッション管理の不備
5. クロスサイト・スクリプティング
6. CSRF
7. HTTP ヘッダ・インジェクション
8. メールの第三者中継
について記載されていますが、サーバ管理や設計者的には
サーバ設定という項目で、『不要なサービスやアカウントを停止または削除』とか、『デフォルトアカウント名の変更』とかも、
チェックリストにほしいかなぁ。
かなり読みやすい感じなので、帰りの電車の友にしよう。