内容紹介
ファジングとは、「予測できない入力を与えて例外を監視することにより、ソフトウェアの欠陥を発見する手法」のことで、データを繰り返し操作してターゲットソフトウェアに供給するという、自動または半自動のプロセスです。
「ファジング」は、ソフトウェアセキュリティをテストするための最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。最近では、有名なクライアントサイドのアプリケーションに潜む脆弱性は、その大部分がファジングを通じて発見されたものです。
いまや、ソフトウェアのセキュリティは、セキュリティチームだけの責任に帰すものではありません。セキュリティは開発チーム全体の問題であり、SDLC(Software Development LifeCycle:ソフトウェア開発ライフサイクル)に組み込むべきものなのです。そして、開発のどの段階でも、どのチームでも活用できる手法こそがファジングです。
本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すために、ファジングのパイオニアでありエキスパートである著者陣が、次のような内容を解説しています。
・ファジングは、なぜテスト設計を簡略化できるのか?
・他の手法では見逃しがちな欠陥を捉えることができるのか?
・入力の特定から「エクスプロイト能力」の評価までのファジングプロセス
・効果的なファジングのための要求条件の理解
・突然変異ベースと新規生成ベースのファジングの比較
・環境変数と引数のファジングの利用と自動化の方法
・メモリ内ファジングというテクニック
・独自のファジングフレームワークとツールの構築方法
・インテリジェントな欠陥検出の実装方法
本書は、ファジングを1つのテクニックとして、初めて正当に評価したリソースです。新製品のファジングを始めるのにも、独自の効果的なファズツールを構築するのにも、すべての必要な知識を提供しています。効果的なファジングを行うには、ターゲットに対して適切な入力データを選ぶことと、ファジングプロセスを操作し、監視し、管理するのに必要なツールを理解することが最重要であり、そのすべてが本書に詰まっています。
攻撃する側は、すでにファジングを使っています。つまり、開発者もファジングを使わなければならないのです。プログラマー、セキュリティエンジニア、テスター、QAスペシャリストなど、ソフトウェア開発に関わるすべての人に対して、本書はセキュアなソフトウェアを作るための「次世代の」手法を伝授します。
「ファジング」は、ソフトウェアセキュリティをテストするための最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。最近では、有名なクライアントサイドのアプリケーションに潜む脆弱性は、その大部分がファジングを通じて発見されたものです。
いまや、ソフトウェアのセキュリティは、セキュリティチームだけの責任に帰すものではありません。セキュリティは開発チーム全体の問題であり、SDLC(Software Development LifeCycle:ソフトウェア開発ライフサイクル)に組み込むべきものなのです。そして、開発のどの段階でも、どのチームでも活用できる手法こそがファジングです。
本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すために、ファジングのパイオニアでありエキスパートである著者陣が、次のような内容を解説しています。
・ファジングは、なぜテスト設計を簡略化できるのか?
・他の手法では見逃しがちな欠陥を捉えることができるのか?
・入力の特定から「エクスプロイト能力」の評価までのファジングプロセス
・効果的なファジングのための要求条件の理解
・突然変異ベースと新規生成ベースのファジングの比較
・環境変数と引数のファジングの利用と自動化の方法
・メモリ内ファジングというテクニック
・独自のファジングフレームワークとツールの構築方法
・インテリジェントな欠陥検出の実装方法
本書は、ファジングを1つのテクニックとして、初めて正当に評価したリソースです。新製品のファジングを始めるのにも、独自の効果的なファズツールを構築するのにも、すべての必要な知識を提供しています。効果的なファジングを行うには、ターゲットに対して適切な入力データを選ぶことと、ファジングプロセスを操作し、監視し、管理するのに必要なツールを理解することが最重要であり、そのすべてが本書に詰まっています。
攻撃する側は、すでにファジングを使っています。つまり、開発者もファジングを使わなければならないのです。プログラマー、セキュリティエンジニア、テスター、QAスペシャリストなど、ソフトウェア開発に関わるすべての人に対して、本書はセキュアなソフトウェアを作るための「次世代の」手法を伝授します。
内容(「BOOK」データベースより)
「ファジング」は、ソフトウェアセキュリティをテストするための、今日、最も効果的なアプローチの1つへと発展しています。「ファジング」では、ランダムデータをプログラムの入力として注入し、そうして起きる不具合をシステマティックに検出します。ここ数年、ハッカーはファジングを利用するようになってきていますが、次は読者の皆さんの番です。本書では、「他人が気付くより前に」自分で脆弱性を見つけ出すため、著名なファジングのエキスパートが解説しています。
内容(「MARC」データベースより)
ファジングとは、予測できない入力を与えて例外を監視することにより、ソフトウェアの欠陥を発見する手法のこと。自分で脆弱性を見つけ出すセキュリティテストプロセスを解説する。
著者略歴 (「BOOK著者紹介情報」より)
Sutton,Michael
SPI DynamicsのSecurity Evangelist(セキュリティ伝道師)として、Webアプリケーションのセキュリティ業界に発生する問題を確認し、研究、提示する役割を負っています。WASC(Web Application Security Consortium)のメンバーでもあり、WASCではWebアプリケーションセキュリティ統計プロジェクトのリーダーを務めています。SPI Dynamicsに参加する以前、iDefense/VeriSignの役員として、iDefense Labsを率いていました。iDefense Labsは、セキュリティ脆弱性の発見と研究を任務とする世界クラスの研究者チームです。また、バミューダ諸島のErnst&Youngのために、ISAAS(Information Systems Assurance and Advisory Services)を設立しました。アルバータ大学とジョージワシントン大学の学位を持っています
Greene,Adam
ニューヨークを本拠とする巨大なファイナンシャルニュース会社の技術者です。以前は、バージニア州レストンにある調査会社のiDefenseの技術者として働いていました。コンピュータセキュリティに対して関心を寄せているのは、主に、信頼できる攻撃の手法、ファジング、UNIXベースのシステム監査、そして攻略法の開発です
Amini,Pedram
現在、TippingPointでセキュリティ研究と製品セキュリティ評価をするチームを率いています。その前は、iDefense Labsのアシスタントディレクターであり、また、iDefense Labsの発起人の一人でもありました。リバースエンジニアリングの芸術と科学を取り上げたコミュニティWebサイトであるOpenRCE.orgを運営しています。チュレーン大学のコンピュータサイエンスの学位を持っています
園田 道夫
サイバー大学IT総合学部准教授、IPA(情報処理推進機構)研究員、JNSA(日本ネットワークセキュリティ協会)研究員、株式会社セキュアスカイ・テクノロジー取締役(非常勤)
伊藤 裕之
テクニカルライター/エディター/イラストレーター。(株)グラベルロード代表取締役(本データはこの書籍が刊行された当時に掲載されていたものです)
SPI DynamicsのSecurity Evangelist(セキュリティ伝道師)として、Webアプリケーションのセキュリティ業界に発生する問題を確認し、研究、提示する役割を負っています。WASC(Web Application Security Consortium)のメンバーでもあり、WASCではWebアプリケーションセキュリティ統計プロジェクトのリーダーを務めています。SPI Dynamicsに参加する以前、iDefense/VeriSignの役員として、iDefense Labsを率いていました。iDefense Labsは、セキュリティ脆弱性の発見と研究を任務とする世界クラスの研究者チームです。また、バミューダ諸島のErnst&Youngのために、ISAAS(Information Systems Assurance and Advisory Services)を設立しました。アルバータ大学とジョージワシントン大学の学位を持っています
Greene,Adam
ニューヨークを本拠とする巨大なファイナンシャルニュース会社の技術者です。以前は、バージニア州レストンにある調査会社のiDefenseの技術者として働いていました。コンピュータセキュリティに対して関心を寄せているのは、主に、信頼できる攻撃の手法、ファジング、UNIXベースのシステム監査、そして攻略法の開発です
Amini,Pedram
現在、TippingPointでセキュリティ研究と製品セキュリティ評価をするチームを率いています。その前は、iDefense Labsのアシスタントディレクターであり、また、iDefense Labsの発起人の一人でもありました。リバースエンジニアリングの芸術と科学を取り上げたコミュニティWebサイトであるOpenRCE.orgを運営しています。チュレーン大学のコンピュータサイエンスの学位を持っています
園田 道夫
サイバー大学IT総合学部准教授、IPA(情報処理推進機構)研究員、JNSA(日本ネットワークセキュリティ協会)研究員、株式会社セキュアスカイ・テクノロジー取締役(非常勤)
伊藤 裕之
テクニカルライター/エディター/イラストレーター。(株)グラベルロード代表取締役(本データはこの書籍が刊行された当時に掲載されていたものです)
