内容紹介
AjaxはWebアプリケーションを完全に変え、Web開発者はAjaxでできることの限界を拡大させ続けています。しかし、Ajaxがセキュリティにもたらす影響はないのでしょうか? その危険性は論じられているでしょうか?
著者が、実世界のコードを調べたところ、SQLインジェクションやクロスサイトスクリプティングなどのセキュリティ脆弱性がゴロゴロと見つかったのです。もっともっと深く掘り下げて論じられるべきなのに、こうした典型的なWeb脆弱性が無視されたり、オマケ程度にしか触れられていないのは大きな問題です。
過度に粒度の細かいWebサービス、アプリケーション制御フローの改竄、マッシュアップ方式の開発における安全とは言えない慣行、認証メカニズムの容易なバイパスといった「Ajaxならではの危険」も大きな問題です。
つまり、AjaxはデスクトップアプリケーションとWebアプリケーション双方の利便性を備えている反面、同時にセキュリティ上の弱点も双方から本質的に受け継いでいるのです。Ajaxアプリケーションは、潜在的脆弱性のパーフェクトストーム(史上かつてなかった嵐)を巻き起こしているのです。
それなのに、セキュリティは大方の開発者にとって二の次になっているように見受けられるのです。
著者らは、こうした在り方を変えたいと本書を執筆しました。Ajaxを利用して最新最強の機能を実装したアプリケーションを開発したいとは思っているものの、安全な開発を第一に考える開発者のために。品質保証を担当するエンジニアや侵入テストのプロフェッショナルのために。
本書では一貫して、Ajaxアプリケーションに潜むセキュリティ上の問題を単に提示するだけでなく、そうした問題を克服し、より厳格で安全なコードを実現するためのアドバイスを提供することに重点を置いています。また、Prototype、DWR、MicrosoftのASP.NET AJAXといった一般的なAjaxフレームワークを分析し、こうしたフレームワークが備えているセキュリティ保護機能とはどのようなものであるのか、開発者自身が追加すべき機能は何であるのかについても明らかにしています。
本書は決してセキュリティの観点からAjaxを馬鹿げているとか使い物にならないなどと否定するものではありません。そうではなく、豊富な機能を実現し、強力で、目から鱗が落ちるほど役立つと同時に、悪意ある攻撃者に対しても頑強で安全なAjaxアプリケーションの開発に役立つリソースとなることを願っています。
著者が、実世界のコードを調べたところ、SQLインジェクションやクロスサイトスクリプティングなどのセキュリティ脆弱性がゴロゴロと見つかったのです。もっともっと深く掘り下げて論じられるべきなのに、こうした典型的なWeb脆弱性が無視されたり、オマケ程度にしか触れられていないのは大きな問題です。
過度に粒度の細かいWebサービス、アプリケーション制御フローの改竄、マッシュアップ方式の開発における安全とは言えない慣行、認証メカニズムの容易なバイパスといった「Ajaxならではの危険」も大きな問題です。
つまり、AjaxはデスクトップアプリケーションとWebアプリケーション双方の利便性を備えている反面、同時にセキュリティ上の弱点も双方から本質的に受け継いでいるのです。Ajaxアプリケーションは、潜在的脆弱性のパーフェクトストーム(史上かつてなかった嵐)を巻き起こしているのです。
それなのに、セキュリティは大方の開発者にとって二の次になっているように見受けられるのです。
著者らは、こうした在り方を変えたいと本書を執筆しました。Ajaxを利用して最新最強の機能を実装したアプリケーションを開発したいとは思っているものの、安全な開発を第一に考える開発者のために。品質保証を担当するエンジニアや侵入テストのプロフェッショナルのために。
本書では一貫して、Ajaxアプリケーションに潜むセキュリティ上の問題を単に提示するだけでなく、そうした問題を克服し、より厳格で安全なコードを実現するためのアドバイスを提供することに重点を置いています。また、Prototype、DWR、MicrosoftのASP.NET AJAXといった一般的なAjaxフレームワークを分析し、こうしたフレームワークが備えているセキュリティ保護機能とはどのようなものであるのか、開発者自身が追加すべき機能は何であるのかについても明らかにしています。
本書は決してセキュリティの観点からAjaxを馬鹿げているとか使い物にならないなどと否定するものではありません。そうではなく、豊富な機能を実現し、強力で、目から鱗が落ちるほど役立つと同時に、悪意ある攻撃者に対しても頑強で安全なAjaxアプリケーションの開発に役立つリソースとなることを願っています。
内容(「BOOK」データベースより)
Ajaxに関するセキュリティ脆弱性のための超実践的ガイドブック。
著者について
Billy Hoffman(ビリー・ホフマン)
HP Software社HPセキュリティ研究所の主任研究員。Toorcon、Shmoocon、Phreaknic、Summercon、Outerz0ne などのハッカーカンファレンスでは常連の発表者であり、RSA、Infosec、AJAXWorld、Black Hatといったセキュリティイベントでも講演を行っている。
Bryan Sullivan(ブライアン・サリバン)
HP Software 社アプリケーションセキュリティセンター部門のソフトウェア開発マネージャー。インターネットセキュリティソフトウェア業界を専門としている。Webアプリケーションのセキュリティ脆弱性を開発段階で分析するDevInspect製品を開発。
【監訳者略歴】 GIJOE(後藤峰陽)
東京出身。大学時代は生物学を専攻し、修士課程修了後、旭化成を経て、現在は株式会社ピークにてネットワーク管理を担当。著書に、『Customizing.XOOPS』(毎日コミュニケーションズ)、『PHPサイバーテロの技法 攻撃と防御の実際』(ソシム)がある。
HP Software社HPセキュリティ研究所の主任研究員。Toorcon、Shmoocon、Phreaknic、Summercon、Outerz0ne などのハッカーカンファレンスでは常連の発表者であり、RSA、Infosec、AJAXWorld、Black Hatといったセキュリティイベントでも講演を行っている。
Bryan Sullivan(ブライアン・サリバン)
HP Software 社アプリケーションセキュリティセンター部門のソフトウェア開発マネージャー。インターネットセキュリティソフトウェア業界を専門としている。Webアプリケーションのセキュリティ脆弱性を開発段階で分析するDevInspect製品を開発。
【監訳者略歴】 GIJOE(後藤峰陽)
東京出身。大学時代は生物学を専攻し、修士課程修了後、旭化成を経て、現在は株式会社ピークにてネットワーク管理を担当。著書に、『Customizing.XOOPS』(毎日コミュニケーションズ)、『PHPサイバーテロの技法 攻撃と防御の実際』(ソシム)がある。
著者略歴 (「BOOK著者紹介情報」より)
Hoffman,Billy
HP Software社HPセキュリティ研究所の主任研究員です。HPでは、JavaScriptソースコード分析、Webアプリケーションにおける脆弱性の自動検出、Webクローリング(巡回)技術を専門としています。2001年からセキュリティ分野の仕事をしており、そのきっかけとなったのは、『2600:The Hacker Quarterly』という雑誌にクラッキングソフトウェアに関する記事を執筆し、自分の原稿を面白いと思ってお金を払う人々がいるのを知ったことでした。それ以来、ファイルフォーマットのリバースエンジニアリング、マイクロコントローラ、JavaScriptマルウェア、磁気ストリップなど、多方面にわたるプロジェクトに関与してきました。磁気ストリップに記録されるデータを取得、変更、検証、生成、分析、共有する研究用ツールスイートであるStripe Snoopの作者です。Toorcon、Shmooconなどのハッカーカンファレンスでは常連の発表者であり、South Eastのハッキングシーンでも活躍しています。2005年にジョージア工科大学を卒業し、コンピュータ科学の理学士号を取得しました(専門はネットワークおよび組み込みシステム)
Sullivan,Bryan
HP Software社アプリケーションセキュリティセンター部門のソフトウェア開発マネージャーです。ソフトウェア開発のプロフェッショナルおよび開発マネージャーとして12年以上の経験があり、最近5年間はインターネットセキュリティソフトウェア業界を専門としています。HPに入社する前は、SPI Dynamicsのセキュリティ研究員でした。SPI在籍中には、Webアプリケーションのセキュリティ脆弱性を開発段階で分析するDevInspect製品の開発を担当しました。業界のイベントでは常連の講演者であり、最近ではAjaxWorld、Black Hat、RSAなどに登場しています。AVDLの開発にも関与しています。ジョージア工科大学を卒業し、応用数学で理学士号を取得しました
GIJOE
本名・後藤峰陽。東京出身。大学時代は生物学を専攻し、修士課程修了後、旭化成を経て、現在は株式会社ピークにてネットワーク管理を担当しています
渡邉 了介
システムエンジニアを経て、20年近くフリーランスで翻訳活動を行っています(本データはこの書籍が刊行された当時に掲載されていたものです)
HP Software社HPセキュリティ研究所の主任研究員です。HPでは、JavaScriptソースコード分析、Webアプリケーションにおける脆弱性の自動検出、Webクローリング(巡回)技術を専門としています。2001年からセキュリティ分野の仕事をしており、そのきっかけとなったのは、『2600:The Hacker Quarterly』という雑誌にクラッキングソフトウェアに関する記事を執筆し、自分の原稿を面白いと思ってお金を払う人々がいるのを知ったことでした。それ以来、ファイルフォーマットのリバースエンジニアリング、マイクロコントローラ、JavaScriptマルウェア、磁気ストリップなど、多方面にわたるプロジェクトに関与してきました。磁気ストリップに記録されるデータを取得、変更、検証、生成、分析、共有する研究用ツールスイートであるStripe Snoopの作者です。Toorcon、Shmooconなどのハッカーカンファレンスでは常連の発表者であり、South Eastのハッキングシーンでも活躍しています。2005年にジョージア工科大学を卒業し、コンピュータ科学の理学士号を取得しました(専門はネットワークおよび組み込みシステム)
Sullivan,Bryan
HP Software社アプリケーションセキュリティセンター部門のソフトウェア開発マネージャーです。ソフトウェア開発のプロフェッショナルおよび開発マネージャーとして12年以上の経験があり、最近5年間はインターネットセキュリティソフトウェア業界を専門としています。HPに入社する前は、SPI Dynamicsのセキュリティ研究員でした。SPI在籍中には、Webアプリケーションのセキュリティ脆弱性を開発段階で分析するDevInspect製品の開発を担当しました。業界のイベントでは常連の講演者であり、最近ではAjaxWorld、Black Hat、RSAなどに登場しています。AVDLの開発にも関与しています。ジョージア工科大学を卒業し、応用数学で理学士号を取得しました
GIJOE
本名・後藤峰陽。東京出身。大学時代は生物学を専攻し、修士課程修了後、旭化成を経て、現在は株式会社ピークにてネットワーク管理を担当しています
渡邉 了介
システムエンジニアを経て、20年近くフリーランスで翻訳活動を行っています(本データはこの書籍が刊行された当時に掲載されていたものです)
