 | 会員なら、この商品は10%Amazonポイント還元 (ポイントが表示されている場合は、表示ポイント+10%還元)。 |
よく一緒に購入されている商品
商品の説明
内容紹介
すべてのWebプログラマが知っておくべき、攻撃と防御の知識を徹底解説!
Webアプリケーションにはなぜ脆弱性が生まれるのか? 脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリケーションセキュリティの第一人者である著者が、正確な知識を丁寧に教える待望の書。
あなたの作ったWebアプリでセキュリティ被害を起こさないための全9章
●第1章 Webアプリケーションの脆弱性とは
脆弱性とは、「悪用できるバグ」/脆弱性があるとなぜ駄目なのか/脆弱性が生まれる理由/セキュリティバグとセキュリティ機能/
本書の構成
●第2章 実習環境のセットアップ
実習環境の概要/VMware Playerのインストール/仮想マシンのインストールと動作確認/Fiddlerのインストール
●第3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー~
HTTPとセッション管理/受動的攻撃と同一生成元ポリシー
●第4章 Webアプリケーションの機能別に見るセキュリティバグ
Webアプリケーションの機能と脆弱性の対応/入力処理とセキュリティ/表示処理に伴う問題/SQL呼び出しに伴う脆弱性/
「重要な処理」の際に混入する脆弱性/セッション管理の不備/リダイレクト処理にまつわる脆弱性/クッキー出力にまつわる脆弱性/
メール送信の問題/ファイルアクセスにまつわる問題/OSコマンド呼び出しの際に発生する脆弱性/ファイルアップロードにまつわる問題/
インクルードにまつわる問題/evalにまつわる問題/共有資源に関する問題
●第5章 代表的なセキュリティ機能
認証/アカウント管理/認可/ログ出力
●第6章 文字コードとセキュリティ
文字コードとセキュリティの概要/文字集合/文字エンコーディング/文字コードによる脆弱性の発生要因まとめ/
文字コードを正しく使うために/まとめ
●第7章 携帯電話向けWebアプリケーションの脆弱性対策
携帯電話向けWebアプリケーションの技術的特徴/携帯ブラウザの技術仕様/かんたんログインの問題/
URL埋め込みのセッションIDによる問題/その他の問題/まとめ
●第8章 Webサイトの安全性を高めるために
Webサーバーへの攻撃経路と対策/成りすまし対策/盗聴・改ざん対策/マルウェア対策/まとめ
●第9章 安全なWebアプリケーションのための開発マネジメント
開発マネジメントにおけるセキュリティ施策の全体像/開発体制/開発プロセス/まとめ
Webアプリケーションにはなぜ脆弱性が生まれるのか? 脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリケーションセキュリティの第一人者である著者が、正確な知識を丁寧に教える待望の書。
あなたの作ったWebアプリでセキュリティ被害を起こさないための全9章
●第1章 Webアプリケーションの脆弱性とは
脆弱性とは、「悪用できるバグ」/脆弱性があるとなぜ駄目なのか/脆弱性が生まれる理由/セキュリティバグとセキュリティ機能/
本書の構成
●第2章 実習環境のセットアップ
実習環境の概要/VMware Playerのインストール/仮想マシンのインストールと動作確認/Fiddlerのインストール
●第3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー~
HTTPとセッション管理/受動的攻撃と同一生成元ポリシー
●第4章 Webアプリケーションの機能別に見るセキュリティバグ
Webアプリケーションの機能と脆弱性の対応/入力処理とセキュリティ/表示処理に伴う問題/SQL呼び出しに伴う脆弱性/
「重要な処理」の際に混入する脆弱性/セッション管理の不備/リダイレクト処理にまつわる脆弱性/クッキー出力にまつわる脆弱性/
メール送信の問題/ファイルアクセスにまつわる問題/OSコマンド呼び出しの際に発生する脆弱性/ファイルアップロードにまつわる問題/
インクルードにまつわる問題/evalにまつわる問題/共有資源に関する問題
●第5章 代表的なセキュリティ機能
認証/アカウント管理/認可/ログ出力
●第6章 文字コードとセキュリティ
文字コードとセキュリティの概要/文字集合/文字エンコーディング/文字コードによる脆弱性の発生要因まとめ/
文字コードを正しく使うために/まとめ
●第7章 携帯電話向けWebアプリケーションの脆弱性対策
携帯電話向けWebアプリケーションの技術的特徴/携帯ブラウザの技術仕様/かんたんログインの問題/
URL埋め込みのセッションIDによる問題/その他の問題/まとめ
●第8章 Webサイトの安全性を高めるために
Webサーバーへの攻撃経路と対策/成りすまし対策/盗聴・改ざん対策/マルウェア対策/まとめ
●第9章 安全なWebアプリケーションのための開発マネジメント
開発マネジメントにおけるセキュリティ施策の全体像/開発体制/開発プロセス/まとめ
出版社からのコメント
Webプログラマの必修知識を一冊に凝縮!
「第1章 Webアプリケーションの脆弱性とは」では、本書全体のテーマである脆弱性(ぜいじゃくせい)についての概要を説明します。この章の最後では、本書の構成と学習の仕方を説明します。
「第2章 実習環境のセットアップ」では、本書の脆弱性のサンプルを動作させるために必要な環境をセットアップします。説明用の画面キャプチャはWindows Vistaにて取得していますが、Windows XPやWindows 7でも同様にセットアップできます。
「第3章 Webセキュリティの基礎」では、Webセキュリティの前提となる基礎知識を説明します。前半でHTTPとセッション管理をした後、後半ではブラウザのセキュリティ機能の1つである同一生成元ポリシーについて説明します。同一生成元ポリシーは、クロスサイト・スプリクティングなど主要な脆弱性の原理を理解するために必要な知識です。
「第4章 Webアプリケーションの機能別に見るセキュリティバグ」では、Webアプリケーションの脆弱性について、発生原理や脆弱性による影響、対策などを詳しく説明します。まず、脆弱性の全体像を把握するために、Webアプリケーションの機能と脆弱性の関係を説明します。次にWebアプリケーションの「入力」と脆弱性の関係を説明します。それ以降は、Webアプリケーションの機能毎に、発生しやすい脆弱性を説明します。クロスサイト・スプリクティング(XSS)やSQLインジェクションなど影響の大きな脆弱性はここで説明します。
「第5章 代表的なセキュリティ機能」では、代表的なセキュリティ機能を取り上げ、どのような脅威があるか、脅威に対抗するにはどのような機能が仕様として必要かを説明します。
「第6章 文字コードとセキュリティ」では文字コードの扱いに起因する脆弱性について説明します。前半では、文字コードの入門として、文字集合と文字エンコーディングについて、後半では、文字集合や文字エンコーディングの扱いに起因する脆弱性について説明した後、文字コードの正しい扱いについて説明します。
「第7章 携帯電話向けWebアプリケーションの脆弱性対策」では、携帯電話向けWebアプリケーションの脆弱性について説明します。iモードやEZweb、Yahoo!ケータイなどのフィーチャーフォンのサービスです。
「第8章 Webサイトの安全性を高めるために」では、アプリケーション以外の側面からWebサイトの安全性を高める施策について説明します。Webサイトに対する攻撃手段の全体像の説明後、それぞれに対して基盤ソフトウェアの脆弱性対処や、成りすまし、盗聴、改ざんの対策、マルウェアへの対処について説明します。
「第9章 安全なWebアプリケーションのための開発マネジメント」では、安全なアプリケーション開発のために必要なマネジメントについて説明します。
「第1章 Webアプリケーションの脆弱性とは」では、本書全体のテーマである脆弱性(ぜいじゃくせい)についての概要を説明します。この章の最後では、本書の構成と学習の仕方を説明します。
「第2章 実習環境のセットアップ」では、本書の脆弱性のサンプルを動作させるために必要な環境をセットアップします。説明用の画面キャプチャはWindows Vistaにて取得していますが、Windows XPやWindows 7でも同様にセットアップできます。
「第3章 Webセキュリティの基礎」では、Webセキュリティの前提となる基礎知識を説明します。前半でHTTPとセッション管理をした後、後半ではブラウザのセキュリティ機能の1つである同一生成元ポリシーについて説明します。同一生成元ポリシーは、クロスサイト・スプリクティングなど主要な脆弱性の原理を理解するために必要な知識です。
「第4章 Webアプリケーションの機能別に見るセキュリティバグ」では、Webアプリケーションの脆弱性について、発生原理や脆弱性による影響、対策などを詳しく説明します。まず、脆弱性の全体像を把握するために、Webアプリケーションの機能と脆弱性の関係を説明します。次にWebアプリケーションの「入力」と脆弱性の関係を説明します。それ以降は、Webアプリケーションの機能毎に、発生しやすい脆弱性を説明します。クロスサイト・スプリクティング(XSS)やSQLインジェクションなど影響の大きな脆弱性はここで説明します。
「第5章 代表的なセキュリティ機能」では、代表的なセキュリティ機能を取り上げ、どのような脅威があるか、脅威に対抗するにはどのような機能が仕様として必要かを説明します。
「第6章 文字コードとセキュリティ」では文字コードの扱いに起因する脆弱性について説明します。前半では、文字コードの入門として、文字集合と文字エンコーディングについて、後半では、文字集合や文字エンコーディングの扱いに起因する脆弱性について説明した後、文字コードの正しい扱いについて説明します。
「第7章 携帯電話向けWebアプリケーションの脆弱性対策」では、携帯電話向けWebアプリケーションの脆弱性について説明します。iモードやEZweb、Yahoo!ケータイなどのフィーチャーフォンのサービスです。
「第8章 Webサイトの安全性を高めるために」では、アプリケーション以外の側面からWebサイトの安全性を高める施策について説明します。Webサイトに対する攻撃手段の全体像の説明後、それぞれに対して基盤ソフトウェアの脆弱性対処や、成りすまし、盗聴、改ざんの対策、マルウェアへの対処について説明します。
「第9章 安全なWebアプリケーションのための開発マネジメント」では、安全なアプリケーション開発のために必要なマネジメントについて説明します。
登録情報
|
この商品を見た後に買っているのは?
カスタマーレビュー
最も参考になったカスタマーレビュー
60 人中、54人の方が、「このレビューが参考になった」と投票しています。
By T.Ox
形式:大型本
以下の理由から、とても読みやすく、とても頭に入りやすい本であると感じた。
1.基本を飛ばさない点
脆弱性とはどういうもので、なぜ良しとされないのか? という単純な疑問を、まず冒頭で解消してくれる。
開発経験はあるが、とにかく動けば良いのでセキュリティ面は考慮してこなかった、という人でも納得して本編に進むことができる。
2.VMWareを用いた実践形式である点
VMWareの無償版を用いた演習で実際に脆弱性を確認するため、非常に頭に残りやすい。
また、紙の上だけで話が展開される場合よりも、楽しみながら読み進めることができた。
3.根源的な話をしっかりと行っている点
セキュリティ関連の話は正直、難しい。
どうしても、「とりあえず、こうすれば安全なんです」というリストを提示するだけになったり、
比喩を用いることで、本質は分からないが、なんとなく分かったつもりにさせる説明をするといったケースが多く見られる。
しかし本書では、小難しい話になりがちな「同一生成元ポリシー」について丁寧に解説するなど、随所に根源的な理解をしてほしいという意思を感じさせる部分がある。
この点は、私見ではあるが、人に薦められる点であると感じた。
以上の3点より、自信を持って人に薦められると感じたことから、本書の評価は星5つとした。
1.基本を飛ばさない点
脆弱性とはどういうもので、なぜ良しとされないのか? という単純な疑問を、まず冒頭で解消してくれる。
開発経験はあるが、とにかく動けば良いのでセキュリティ面は考慮してこなかった、という人でも納得して本編に進むことができる。
2.VMWareを用いた実践形式である点
VMWareの無償版を用いた演習で実際に脆弱性を確認するため、非常に頭に残りやすい。
また、紙の上だけで話が展開される場合よりも、楽しみながら読み進めることができた。
3.根源的な話をしっかりと行っている点
セキュリティ関連の話は正直、難しい。
どうしても、「とりあえず、こうすれば安全なんです」というリストを提示するだけになったり、
比喩を用いることで、本質は分からないが、なんとなく分かったつもりにさせる説明をするといったケースが多く見られる。
しかし本書では、小難しい話になりがちな「同一生成元ポリシー」について丁寧に解説するなど、随所に根源的な理解をしてほしいという意思を感じさせる部分がある。
この点は、私見ではあるが、人に薦められる点であると感じた。
以上の3点より、自信を持って人に薦められると感じたことから、本書の評価は星5つとした。
28 人中、22人の方が、「このレビューが参考になった」と投票しています。
By たりき
形式:大型本
全てのWebアプリケーションプログラマだけでなく,Webアプリケーションを発注する側もぜひ目を通して欲しい一冊。
また,脆弱性検査のためにも役立つ。非常に広範囲な対象がスムーズに読み進められることは間違いない。
プログラマだけでなく,発注する側にも薦められるのには理由がある。
まず,紹介されている全ての脆弱性について,
・どの機能で発生しうるか
・どのような脆弱性か
・どうやって対処すればよいか
・どうやって試験すればよいか
が,非常にわかりやすく,かつ,実際に体験することができるようになっている。
だから,経営層を説得しやすい。「これだけの要件を満たさなければ,こうなってしまうよ」と,示して見せることができるからだ。
また,具体的なテストの方法が示されているため,納品時の検収にそのまま適用することもできる。この本で例示されているテストパターンくらいクリアできなければ,検収を受けるに値しない,ということができるということだ。
プログラマーなら。
どこで脆弱性が発生しやすいかを知ることができ,また,対処法も知ることができる。全てのWebプログラマーは本書を手に取り,サンプルを試し,自分の書くコードがテストをパスできることを確認すべきだ。
本書は,本書以前と本書以降に明確な線を引くだけのインパクトがある。
本書はひとつの基準となるだけの内容と品質を持っているのだ。
この本を示し,「全てのテストパターンにパスすること」と要件定義すればよい。
この本に示されたテストを行い,もし問題があれば,この本に示されているように修正すればよい。
基準となる一冊である。この値段でこれだけの内容を得られるのだから,安いものだ。
また,脆弱性検査のためにも役立つ。非常に広範囲な対象がスムーズに読み進められることは間違いない。
プログラマだけでなく,発注する側にも薦められるのには理由がある。
まず,紹介されている全ての脆弱性について,
・どの機能で発生しうるか
・どのような脆弱性か
・どうやって対処すればよいか
・どうやって試験すればよいか
が,非常にわかりやすく,かつ,実際に体験することができるようになっている。
だから,経営層を説得しやすい。「これだけの要件を満たさなければ,こうなってしまうよ」と,示して見せることができるからだ。
また,具体的なテストの方法が示されているため,納品時の検収にそのまま適用することもできる。この本で例示されているテストパターンくらいクリアできなければ,検収を受けるに値しない,ということができるということだ。
プログラマーなら。
どこで脆弱性が発生しやすいかを知ることができ,また,対処法も知ることができる。全てのWebプログラマーは本書を手に取り,サンプルを試し,自分の書くコードがテストをパスできることを確認すべきだ。
本書は,本書以前と本書以降に明確な線を引くだけのインパクトがある。
本書はひとつの基準となるだけの内容と品質を持っているのだ。
この本を示し,「全てのテストパターンにパスすること」と要件定義すればよい。
この本に示されたテストを行い,もし問題があれば,この本に示されているように修正すればよい。
基準となる一冊である。この値段でこれだけの内容を得られるのだから,安いものだ。
2 人中、2人の方が、「このレビューが参考になった」と投票しています。
By z2z2z2
形式:大型本|Amazon.co.jpで購入済み
日本語で書かれているWebアプリケーションのセキュリティに関する本では最も良い本だと、社内のトップセキュリティテスターが言っていました。
テスター達は、SyngressのSQLインジェクションだけについて書かれた分厚い本など、基本的には和訳されていない本やネットから入手したホワイトペーパー等を読んでいますが、深くまで知って俯瞰できる彼らから見てもバランスの良い本だとのことです。
当社では、新人さんとセキュリティの営業担当者は必読書となっています。
テスター達は、SyngressのSQLインジェクションだけについて書かれた分厚い本など、基本的には和訳されていない本やネットから入手したホワイトペーパー等を読んでいますが、深くまで知って俯瞰できる彼らから見てもバランスの良い本だとのことです。
当社では、新人さんとセキュリティの営業担当者は必読書となっています。
最近のカスタマーレビュー
5つ星のうち 5.0
Web 開発の必読書。新入生や新入社員に勧めよう
オンラインを見渡すと、さまざまなセキュリティに関する議論や資料が公開されているものの、問題の定義があやふやであったり、脆弱性の再現方法を示さないまま、対策を挙げる... 続きを読む
投稿日: 28日前 投稿者: 加賀谷昌樹
5つ星のうち 5.0
分かりやすい
VMwareのイメージファイルが添付されており,自分で攻撃手法を試しながら学習を進めることができ,とても分かりやすいです。
投稿日: 1か月前 投稿者: Yamato
5つ星のうち 4.0
Web開発者であれば
Webアプリを作成する上で必要なセキュリティ対策を
1つ1つあげていて、参考になると思う。... 続きを読む
1つ1つあげていて、参考になると思う。... 続きを読む
投稿日: 12か月前 投稿者: sinh
5つ星のうち 5.0
スキがない、新世紀のセキュアなWebアプリ本
レビューワーを公募して、その筋に関係ある人を巻き込んで、完成したスキの無い本。... 続きを読む
投稿日: 22か月前 投稿者: MeijiK
5つ星のうち 4.0
Webプログラマ必携の一冊
PHPをはじめとしたWebセキュリティ業界大御所の一人、徳丸浩氏による著作で、主にPHPとJavaScriptを中心としたWebアプリのセキュアな作り方を比較的具... 続きを読む
投稿日: 2011/4/10 投稿者: 風雅
5つ星のうち 5.0
詳細な説明で誰にわかりやすく誰にでもお勧めできる
作者はセキュリティー関連で有名なお方です。
以前からブログでお世話になることが多かったため購入しました。... 続きを読む
以前からブログでお世話になることが多かったため購入しました。... 続きを読む
投稿日: 2011/3/27 投稿者: samasa
5つ星のうち 5.0
Webアプリのセキュリティの基礎部分から高度なところまでカバーした、非常に内容の濃い一冊
Webアプリのセキュリティの基礎部分から高度なところまでカバーし且つ内容の濃い、非常に完成度の高い内容になっていると思います。... 続きを読む
投稿日: 2011/3/24 投稿者: mat
リストマニア
|
|
フィードバック
- カタログ情報、または画像について報告
- 著者からのコメント
- 出版社からのコメント
|
