-Webアプリセキュリティ対策入門
--http://www.amazon.co.jp/exec/obidos/ASIN/4774127027/nilabwiki-22/ref=nosim/
--大垣 靖男 著
---具体的な攻撃方法が載っているのがイイ。あと、対策はそれなりに具体的だけど、できればコードレベルにまで落としてほしかったなぁ。
-【レポート】Black Hat Japan 2005 - Unicode文字によるDirectory Traversal攻撃 (1) 文字コードでフォレンジックに関係しそうな領域はそれほど広くないはずだが…… - 伊原氏 (MYCOMジャーナル)
--http://journal.mycom.co.jp/articles/2005/11/07/blackhat/
-OWASPドキュメント『The Open Web Application Security Project 1.1.1』(邦題「安全なWeb アプリケーション構築の手引き」)
--ttp://prdownloads.sourceforge.net/owasp/OWASPGuideV1.1.1-jp.pdf
-Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報
--http://www.ipa.go.jp/security/ciadr/20011023css.html
-CERT/CC Understanding Malicious Content Mitigation For Web Developers
--http://www.cert.org/tech_tips/malicious_code_mitigation.html
-セキュアWebプログラミング ASP編 Part 1
--http://www.trusnet.com/secinfo/docs/webprog1/index.html
-セキュアWebプログラミング ASP編 Part 2
--http://www.trusnet.com/secinfo/docs/webprog2/index.html
-IPA ISEC セキュア・プログラミング講座
--http://www.ipa.go.jp/security/awareness/vendor/programming/index_main.html
-SecurIT - 産業技術総合研究所 セキュアプログラミング研究チーム
--http://securit.gtrc.aist.go.jp/
-クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策
--http://securit.gtrc.aist.go.jp/research/paper/css2001-takagi-dist.pdf
-@IT:[eWEEK] Webアプリの脆弱性ワースト10とその対策
--http://www.atmarkit.co.jp/news/200302/11/webapp.html
-Webサイト運営者のセキュリティ確保の心得 - データベースサーバの構築、運用から発生する脆弱点とその対策
--http://www.atmarkit.co.jp/fsecurity/rensai/web03/web01.html
-SecurIT-Advisory 2001-001: クロスサイトスクリプティング脆弱性蔓延の現状と解決策
--http://securit.gtrc.aist.go.jp/SecurIT/advisory/cross-site-scripting-1/
-ソフトウェアのセキュリティ欠陥は誰が直すのか
--http://www.ipa.go.jp/security/fy14/events/ipa-winter2003-takagi-dist.pdf
---Coolieのsecureフラグを立てる -> そうしないとhttpアクセス時に盗聴可能に
-安全なWebアプリ開発31箇条の鉄則
--http://java-house.jp/~takagi/paper/iw2002-jnsa-takagi-dist.pdf
-安全なWebアプリ開発の鉄則 2004
--http://www.soi.wide.ad.jp/class/20040031/slides/09/1.html
-Internet Explorer SuperCookies bypass P3P and cookie controls
--http://www.computerbytesman.com/privacy/supercookie.htm
-ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
--http://www.ipa.go.jp/security/vuln/event/20060228.html
--->【講演1】 最近の脆弱性関連情報の届出事例とその対策方法
--->【講演2】 安全なウェブアプリケーション構築のための開発環境
--->【講演3】 「CSRF」 と 「Session Fixation」 の諸問題について
-開発者のための正しいCSRF対策
--http://www.jumperz.net/texts/csrf.htm
-Sea Surfers ML
--http://www.freeml.com/ctrl/html/MLInfoForm/seasurfers@freeml.com
--->ウェブアプリケーションに対する攻撃手法の一種であるCSRF(Cross Site Request Forgeries)はその複雑さから正しい対策方法が確立されておらず、ウェブサイトや書籍などで情報の混乱が見られます。このメーリングリストの主な目的はこの混乱を解決することです。
--->CSRF対策についての疑問・質問や意見などがある方はどなたでも参加いただけます。また、CSRFに関連して他のウェブアプリケーションセキュリティに関するテーマも扱います。
-スラッシュドット ジャパン | 正しいCSRF対策、してますか?
--http://slashdot.jp/developers/article.pl?sid=06/04/01/2145235