東京商工会議所で行われた、脆弱性体験学習ツール「AppGoat」ハンズオンセミナーに参加してきました。
このツールはIPA（独立行政法人 情報処理推進機構）が開発したもので、実際にWebページの改ざんが体験でき、その対策を勉強するためのツールです。
http://www.ipa.go.jp/security/vuln/appgoat/

内容は以下の項目でした。

• ウェブサイトへの攻撃の状況
• AppGoatによる脆弱性体験学習
  • SQLインジェクション
  • クロスサイト・スクリプティング(XSS)
  • クロスサイト・リクエスト・フォージェリ(CSRF)
• 脆弱性や認証不備を突いた攻撃のデモ
• ウェブサイトを安全に運用するポイント

改ざんの手口を教えてもいいのか？と最初は思いましたが、内容は初歩的なものなので、この程度の対策をしていないWebページはとっても危ないと感じるレベルでした。
これからWebプログラマーを目指す新人の方には是非一度勉強しておいていただいた方が良いと思います。
また、「わが社のホームページは大丈夫か？」とご心配なかたは、調査や対策立案についてご相談ください。