よく一緒に購入されている商品
商品の説明
内容紹介
すべてのWebプログラマが知っておくべき、攻撃と防御の知識を徹底解説!
Webアプリケーションにはなぜ脆弱性が生まれるのか? 脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリケーションセキュリティの第一人者である著者が、正確な知識を丁寧に教える待望の書。
あなたの作ったWebアプリでセキュリティ被害を起こさないための全9章
●第1章 Webアプリケーションの脆弱性とは
脆弱性とは、「悪用できるバグ」/脆弱性があるとなぜ駄目なのか/脆弱性が生まれる理由/セキュリティバグとセキュリティ機能/
本書の構成
●第2章 実習環境のセットアップ
実習環境の概要/VMware Playerのインストール/仮想マシンのインストールと動作確認/Fiddlerのインストール
●第3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー~
HTTPとセッション管理/受動的攻撃と同一生成元ポリシー
●第4章 Webアプリケーションの機能別に見るセキュリティバグ
Webアプリケーションの機能と脆弱性の対応/入力処理とセキュリティ/表示処理に伴う問題/SQL呼び出しに伴う脆弱性/
「重要な処理」の際に混入する脆弱性/セッション管理の不備/リダイレクト処理にまつわる脆弱性/クッキー出力にまつわる脆弱性/
メール送信の問題/ファイルアクセスにまつわる問題/OSコマンド呼び出しの際に発生する脆弱性/ファイルアップロードにまつわる問題/
インクルードにまつわる問題/evalにまつわる問題/共有資源に関する問題
●第5章 代表的なセキュリティ機能
認証/アカウント管理/認可/ログ出力
●第6章 文字コードとセキュリティ
文字コードとセキュリティの概要/文字集合/文字エンコーディング/文字コードによる脆弱性の発生要因まとめ/
文字コードを正しく使うために/まとめ
●第7章 携帯電話向けWebアプリケーションの脆弱性対策
携帯電話向けWebアプリケーションの技術的特徴/携帯ブラウザの技術仕様/かんたんログインの問題/
URL埋め込みのセッションIDによる問題/その他の問題/まとめ
●第8章 Webサイトの安全性を高めるために
Webサーバーへの攻撃経路と対策/成りすまし対策/盗聴・改ざん対策/マルウェア対策/まとめ
●第9章 安全なWebアプリケーションのための開発マネジメント
開発マネジメントにおけるセキュリティ施策の全体像/開発体制/開発プロセス/まとめ
Webアプリケーションにはなぜ脆弱性が生まれるのか? 脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリケーションセキュリティの第一人者である著者が、正確な知識を丁寧に教える待望の書。
あなたの作ったWebアプリでセキュリティ被害を起こさないための全9章
●第1章 Webアプリケーションの脆弱性とは
脆弱性とは、「悪用できるバグ」/脆弱性があるとなぜ駄目なのか/脆弱性が生まれる理由/セキュリティバグとセキュリティ機能/
本書の構成
●第2章 実習環境のセットアップ
実習環境の概要/VMware Playerのインストール/仮想マシンのインストールと動作確認/Fiddlerのインストール
●第3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー~
HTTPとセッション管理/受動的攻撃と同一生成元ポリシー
●第4章 Webアプリケーションの機能別に見るセキュリティバグ
Webアプリケーションの機能と脆弱性の対応/入力処理とセキュリティ/表示処理に伴う問題/SQL呼び出しに伴う脆弱性/
「重要な処理」の際に混入する脆弱性/セッション管理の不備/リダイレクト処理にまつわる脆弱性/クッキー出力にまつわる脆弱性/
メール送信の問題/ファイルアクセスにまつわる問題/OSコマンド呼び出しの際に発生する脆弱性/ファイルアップロードにまつわる問題/
インクルードにまつわる問題/evalにまつわる問題/共有資源に関する問題
●第5章 代表的なセキュリティ機能
認証/アカウント管理/認可/ログ出力
●第6章 文字コードとセキュリティ
文字コードとセキュリティの概要/文字集合/文字エンコーディング/文字コードによる脆弱性の発生要因まとめ/
文字コードを正しく使うために/まとめ
●第7章 携帯電話向けWebアプリケーションの脆弱性対策
携帯電話向けWebアプリケーションの技術的特徴/携帯ブラウザの技術仕様/かんたんログインの問題/
URL埋め込みのセッションIDによる問題/その他の問題/まとめ
●第8章 Webサイトの安全性を高めるために
Webサーバーへの攻撃経路と対策/成りすまし対策/盗聴・改ざん対策/マルウェア対策/まとめ
●第9章 安全なWebアプリケーションのための開発マネジメント
開発マネジメントにおけるセキュリティ施策の全体像/開発体制/開発プロセス/まとめ
内容(「BOOK」データベースより)
SQLインジェクション、クロスサイト・スクリプティング、セッションハイジャック、etc.Webプログラマが知っておくべき攻撃と防御の知識を徹底解説。
登録情報
|
この商品を見た後に買っているのは?
この商品につけられているタグ(詳細)タグをクリックすると、タグがつけられた商品、タグをつけた人が表示されます。※タグは初期設定で公開になっています。詳しくはこちら
|
カスタマーレビュー
最も参考になったカスタマーレビュー
54 人中、48人の方が、「このレビューが参考になった」と投票しています。
形式:大型本
以下の理由から、とても読みやすく、とても頭に入りやすい本であると感じた。
1.基本を飛ばさない点
脆弱性とはどういうもので、なぜ良しとされないのか? という単純な疑問を、まず冒頭で解消してくれる。
開発経験はあるが、とにかく動けば良いのでセキュリティ面は考慮してこなかった、という人でも納得して本編に進むことができる。
2.VMWareを用いた実践形式である点
VMWareの無償版を用いた演習で実際に脆弱性を確認するため、非常に頭に残りやすい。
また、紙の上だけで話が展開される場合よりも、楽しみながら読み進めることができた。
3.根源的な話をしっかりと行っている点
セキュリティ関連の話は正直、難しい。
どうしても、「とりあえず、こうすれば安全なんです」というリストを提示するだけになったり、
比喩を用いることで、本質は分からないが、なんとなく分かったつもりにさせる説明をするといったケースが多く見られる。
しかし本書では、小難しい話になりがちな「同一生成元ポリシー」について丁寧に解説するなど、随所に根源的な理解をしてほしいという意思を感じさせる部分がある。
この点は、私見ではあるが、人に薦められる点であると感じた。
以上の3点より、自信を持って人に薦められると感じたことから、本書の評価は星5つとした。
1.基本を飛ばさない点
脆弱性とはどういうもので、なぜ良しとされないのか? という単純な疑問を、まず冒頭で解消してくれる。
開発経験はあるが、とにかく動けば良いのでセキュリティ面は考慮してこなかった、という人でも納得して本編に進むことができる。
2.VMWareを用いた実践形式である点
VMWareの無償版を用いた演習で実際に脆弱性を確認するため、非常に頭に残りやすい。
また、紙の上だけで話が展開される場合よりも、楽しみながら読み進めることができた。
3.根源的な話をしっかりと行っている点
セキュリティ関連の話は正直、難しい。
どうしても、「とりあえず、こうすれば安全なんです」というリストを提示するだけになったり、
比喩を用いることで、本質は分からないが、なんとなく分かったつもりにさせる説明をするといったケースが多く見られる。
しかし本書では、小難しい話になりがちな「同一生成元ポリシー」について丁寧に解説するなど、随所に根源的な理解をしてほしいという意思を感じさせる部分がある。
この点は、私見ではあるが、人に薦められる点であると感じた。
以上の3点より、自信を持って人に薦められると感じたことから、本書の評価は星5つとした。
28 人中、22人の方が、「このレビューが参考になった」と投票しています。
形式:大型本
全てのWebアプリケーションプログラマだけでなく,Webアプリケーションを発注する側もぜひ目を通して欲しい一冊。
また,脆弱性検査のためにも役立つ。非常に広範囲な対象がスムーズに読み進められることは間違いない。
プログラマだけでなく,発注する側にも薦められるのには理由がある。
まず,紹介されている全ての脆弱性について,
・どの機能で発生しうるか
・どのような脆弱性か
・どうやって対処すればよいか
・どうやって試験すればよいか
が,非常にわかりやすく,かつ,実際に体験することができるようになっている。
だから,経営層を説得しやすい。「これだけの要件を満たさなければ,こうなってしまうよ」と,示して見せることができるからだ。
また,具体的なテストの方法が示されているため,納品時の検収にそのまま適用することもできる。この本で例示されているテストパターンくらいクリアできなければ,検収を受けるに値しない,ということができるということだ。
プログラマーなら。
どこで脆弱性が発生しやすいかを知ることができ,また,対処法も知ることができる。全てのWebプログラマーは本書を手に取り,サンプルを試し,自分の書くコードがテストをパスできることを確認すべきだ。
本書は,本書以前と本書以降に明確な線を引くだけのインパクトがある。
本書はひとつの基準となるだけの内容と品質を持っているのだ。
この本を示し,「全てのテストパターンにパスすること」と要件定義すればよい。
この本に示されたテストを行い,もし問題があれば,この本に示されているように修正すればよい。
基準となる一冊である。この値段でこれだけの内容を得られるのだから,安いものだ。
また,脆弱性検査のためにも役立つ。非常に広範囲な対象がスムーズに読み進められることは間違いない。
プログラマだけでなく,発注する側にも薦められるのには理由がある。
まず,紹介されている全ての脆弱性について,
・どの機能で発生しうるか
・どのような脆弱性か
・どうやって対処すればよいか
・どうやって試験すればよいか
が,非常にわかりやすく,かつ,実際に体験することができるようになっている。
だから,経営層を説得しやすい。「これだけの要件を満たさなければ,こうなってしまうよ」と,示して見せることができるからだ。
また,具体的なテストの方法が示されているため,納品時の検収にそのまま適用することもできる。この本で例示されているテストパターンくらいクリアできなければ,検収を受けるに値しない,ということができるということだ。
プログラマーなら。
どこで脆弱性が発生しやすいかを知ることができ,また,対処法も知ることができる。全てのWebプログラマーは本書を手に取り,サンプルを試し,自分の書くコードがテストをパスできることを確認すべきだ。
本書は,本書以前と本書以降に明確な線を引くだけのインパクトがある。
本書はひとつの基準となるだけの内容と品質を持っているのだ。
この本を示し,「全てのテストパターンにパスすること」と要件定義すればよい。
この本に示されたテストを行い,もし問題があれば,この本に示されているように修正すればよい。
基準となる一冊である。この値段でこれだけの内容を得られるのだから,安いものだ。
2 人中、2人の方が、「このレビューが参考になった」と投票しています。
形式:大型本|Amazonが確認した購入
日本語で書かれているWebアプリケーションのセキュリティに関する本では最も良い本だと、社内のトップセキュリティテスターが言っていました。
テスター達は、SyngressのSQLインジェクションだけについて書かれた分厚い本など、基本的には和訳されていない本やネットから入手したホワイトペーパー等を読んでいますが、深くまで知って俯瞰できる彼らから見てもバランスの良い本だとのことです。
当社では、新人さんとセキュリティの営業担当者は必読書となっています。
テスター達は、SyngressのSQLインジェクションだけについて書かれた分厚い本など、基本的には和訳されていない本やネットから入手したホワイトペーパー等を読んでいますが、深くまで知って俯瞰できる彼らから見てもバランスの良い本だとのことです。
当社では、新人さんとセキュリティの営業担当者は必読書となっています。
最近のカスタマーレビュー
Web開発者であれば
Webアプリを作成する上で必要なセキュリティ対策を
1つ1つあげていて、参考になると思う。... 続きを読む
1つ1つあげていて、参考になると思う。... 続きを読む
投稿日: 1か月前 投稿者: sinh
スキがない、新世紀のセキュアなWebアプリ本
レビューワーを公募して、その筋に関係ある人を巻き込んで、完成したスキの無い本。... 続きを読む
投稿日: 10か月前 投稿者: MeijiK
Webプログラマ必携の一冊
PHPをはじめとしたWebセキュリティ業界大御所の一人、徳丸浩氏による著作で、主にPHPとJavaScriptを中心としたWebアプリのセキュアな作り方を比較的具... 続きを読む
投稿日: 14か月前 投稿者: 風雅
詳細な説明で誰にわかりやすく誰にでもお勧めできる
作者はセキュリティー関連で有名なお方です。
以前からブログでお世話になることが多かったため購入しました。... 続きを読む
以前からブログでお世話になることが多かったため購入しました。... 続きを読む
投稿日: 14か月前 投稿者: samasa
Webアプリのセキュリティの基礎部分から高度なところまでカバーした、非常に内容の濃い一冊
Webアプリのセキュリティの基礎部分から高度なところまでカバーし且つ内容の濃い、非常に完成度の高い内容になっていると思います。... 続きを読む
投稿日: 14か月前 投稿者: mat
リストマニア
|
|
同じキーワードの商品を探す
フィードバック
- カタログ情報、または画像について報告
- 著者からのコメント
- 出版社からのコメント
|
