オライリールートマップ
カバーの色には意味があった
http://letters.oreilly.com/routemap.html
危険なエラーTOP25翻訳
http://www.sans.org/top25errors/?utm_source=web&utm_medium=text-ad&utm_content=Announcement_Bar_20090111&utm_campaign=Top25&ref=37029#s4
トップ25の内容
スラドにもコメントしたが、訳した
コンポーネント間のセキュアでないアクセス
- 入力の検証忘れ(数値か文字列かのチェックなど)
- 出力のエスケープ忘れ(制御情報とデータの分離を忘れるなど)
- SQLインジェクション
- クロスサイトスクリプティング
- OSコマンドインジェクション
- 重要情報の平文通信
- CSRF
- 競合状態(レースコンディション)
- エラーメッセージ漏れ
危険なリソースマネジメント
- バッファ内で操作が制限されていない
- クリティカルセクションに外部からの変更ができる
- ファイル名、ファイルパスに外部からの変更ができる
- 信頼されていない検索パス(検索によって設定ファイルなどが検出できる)
- コードインジェクション
- チェックが不完全な(悪意の改竄のある)コードのダウンロード
- リソース開放忘れ
- 初期化忘れ
- 不正確な算術(整数掛け算のオーバフロー、浮動小数点演算の丸め誤差など)
穴の多い防御
- 認証忘れ
- 脆弱性のある暗号アルゴリズムの使用
- ハードコーディングされたパスワード
- 重要資源への不適切なアクセス制限
- 不十分な乱数の使用
- 不必要な特権を使った実行
- クライアントサイドに依存したサーバセキュリティ(リバースエンジニアリングを使っ>たなりすましの危惧)