商品の説明
内容紹介
ファジングとは、「予測できない入力を与えて例外を監視することにより、ソフトウェアの欠陥を発見する手法」のことで、データを繰り返し操作してターゲットソフトウェアに供給するという、自動または半自動のプロセスです。
「ファジング」は、ソフトウェアセキュリティをテストするための最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。最近では、有名なクライアントサイドのアプリケーションに潜む脆弱性は、その大部分がファジングを通じて発見されたものです。
いまや、ソフトウェアのセキュリティは、セキュリティチームだけの責任に帰すものではありません。セキュリティは開発チーム全体の問題であり、SDLC(Software Development LifeCycle:ソフトウェア開発ライフサイクル)に組み込むべきものなのです。そして、開発のどの段階でも、どのチームでも活用できる手法こそがファジングです。
本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すために、ファジングのパイオニアでありエキスパートである著者陣が、次のような内容を解説しています。
・ファジングは、なぜテスト設計を簡略化できるのか?
・他の手法では見逃しがちな欠陥を捉えることができるのか?
・入力の特定から「エクスプロイト能力」の評価までのファジングプロセス
・効果的なファジングのための要求条件の理解
・突然変異ベースと新規生成ベースのファジングの比較
・環境変数と引数のファジングの利用と自動化の方法
・メモリ内ファジングというテクニック
・独自のファジングフレームワークとツールの構築方法
・インテリジェントな欠陥検出の実装方法
本書は、ファジングを1つのテクニックとして、初めて正当に評価したリソースです。新製品のファジングを始めるのにも、独自の効果的なファズツールを構築するのにも、すべての必要な知識を提供しています。効果的なファジングを行うには、ターゲットに対して適切な入力データを選ぶことと、ファジングプロセスを操作し、監視し、管理するのに必要なツールを理解することが最重要であり、そのすべてが本書に詰まっています。
攻撃する側は、すでにファジングを使っています。つまり、開発者もファジングを使わなければならないのです。プログラマー、セキュリティエンジニア、テスター、QAスペシャリストなど、ソフトウェア開発に関わるすべての人に対して、本書はセキュアなソフトウェアを作るための「次世代の」手法を伝授します。
「ファジング」は、ソフトウェアセキュリティをテストするための最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。最近では、有名なクライアントサイドのアプリケーションに潜む脆弱性は、その大部分がファジングを通じて発見されたものです。
いまや、ソフトウェアのセキュリティは、セキュリティチームだけの責任に帰すものではありません。セキュリティは開発チーム全体の問題であり、SDLC(Software Development LifeCycle:ソフトウェア開発ライフサイクル)に組み込むべきものなのです。そして、開発のどの段階でも、どのチームでも活用できる手法こそがファジングです。
本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すために、ファジングのパイオニアでありエキスパートである著者陣が、次のような内容を解説しています。
・ファジングは、なぜテスト設計を簡略化できるのか?
・他の手法では見逃しがちな欠陥を捉えることができるのか?
・入力の特定から「エクスプロイト能力」の評価までのファジングプロセス
・効果的なファジングのための要求条件の理解
・突然変異ベースと新規生成ベースのファジングの比較
・環境変数と引数のファジングの利用と自動化の方法
・メモリ内ファジングというテクニック
・独自のファジングフレームワークとツールの構築方法
・インテリジェントな欠陥検出の実装方法
本書は、ファジングを1つのテクニックとして、初めて正当に評価したリソースです。新製品のファジングを始めるのにも、独自の効果的なファズツールを構築するのにも、すべての必要な知識を提供しています。効果的なファジングを行うには、ターゲットに対して適切な入力データを選ぶことと、ファジングプロセスを操作し、監視し、管理するのに必要なツールを理解することが最重要であり、そのすべてが本書に詰まっています。
攻撃する側は、すでにファジングを使っています。つまり、開発者もファジングを使わなければならないのです。プログラマー、セキュリティエンジニア、テスター、QAスペシャリストなど、ソフトウェア開発に関わるすべての人に対して、本書はセキュアなソフトウェアを作るための「次世代の」手法を伝授します。
内容(「BOOK」データベースより)
「ファジング」は、ソフトウェアセキュリティをテストするための、今日、最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。ここ数年、ハッカーはファジングを利用するようになってきていますが、次は読者の皆さんの番です。本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すため、著名なファジングのエキスパートが解説しています。
登録情報
|
カスタマーレビュー
|
あなたの意見や感想を教えてください:
|
||||||||||||||||||||||
|
最も参考になったカスタマーレビュー
5 人中、4人の方が、「このレビューが参考になった」と投票しています。
5つ星のうち 4.0
2008年のセキュリティ最新キーワード,
By
レビュー対象商品: ファジング:ブルートフォースによる脆弱性発見手法 (単行本(ソフトカバー))
仕事上の興味で手に取った。「ファジング」とは耳慣れない言葉だが、「予測できない入力を与えて例外を監視することにより、ソフトウェアの欠陥を発見する手法(p20)」のことだそうだ。著者のひとりであるムーア氏は、2003年にUDPパケットをランダムに送りつけるツールを作って、Windowsサーバなど多数のソフトウェアの脆弱性を発見した。 本書は、コマンドやメモリのようなローカルなコンピュータ資源から、ネットワーク上のWEBサイト至るまで、ファジングの手法を詳細に解説したものである。ファジングツールの具体的な操作方法も書かれているので、本書のとおりにそのまま試してみることもできそうだ。 ファジングは2008年のネットワーク最新トレンド、キーワードとして雑誌にも紹介されている。本書は非常に専門性が高く分量も500ページを超えるため、トレンドを理解するという目的には不向きだが、第一線のエンジニアには十分楽しめると内容だと思う。
5つ星のうち 3.0
ちょっと高価かな。,
By
レビュー対象商品: ファジング:ブルートフォースによる脆弱性発見手法 (単行本(ソフトカバー))
ファジング手法の本です。脆弱性を見つける方法に特化しています。発見した脆弱性をどのように攻撃に結びつけるのかについては、ほとんど記載がありませんので、 その点について学びたいかたは他の書籍をあたったほうがよいと思います。 それから、実践的な内容がちょっと値段に比べて乏しいので、この☆の評価にさせて いただきました。結局のところ、ソフトウェア開発者はファジングによって発見された問題の 所在を、デバッガによって問題の所在を切り分けなくてはならないのですが、そこについての 記載がちょっと薄すぎるかな。。。ボリューム感を感じさせる本だけに、これが一番残念です。
あなたの意見や感想を教えてください: 自分のレビューを作成する
|
|
リストマニア
関連商品を探す
- 本 > コンピュータ・IT > 出版社別 > 毎日コミュニケーションズ
- 本 > 毎日コミュニケーションズ
同じキーワードの商品を探す
フィードバック
- カタログ情報、または画像について報告
- 著者からのコメント
- 出版社からのコメント
