脆弱性診断士スキルマッププロジェクトは3月2日、「Webアプリケーション脆弱性診断ガイドライン 第1.2版」を公開した。
同プロジェクトではWebアプリケーション脆弱性診断について、自動診断ツールだけでは十分な診断結果が得られず、補助ツールを用いた手動診断との併用が望ましいとし、脆弱性診断士の経験やスキルに左右されず一定レベルを保つよう最低限必要な診断項目や手順を定義した「Webアプリケーション脆弱性診断ガイドライン」を作成し、公開している。
第1.2版では、CSSi、Relative Path Overwrite、SSTI、SSRFをはじめとした脆弱性項目の追加や診断方法などの見直しを実施している。ガイドラインの更新に合わせ、今後はスキルマップや要件定義書なども更新予定。
