くどい。
昔の単一のブラウザ限定などかなり低い確率の脆弱性であっても、脆弱性となり得るものを拾い集めてきて、コツコツと説明してる。
ひとつひとつ丁寧に1から10まで。
しかし結局の対策としては他の脆弱性と同じく、php.iniの設定や入力値チェックを行う対策となる。
脆弱性についての論文って感じ。
そして全体の印象として少し古い。
約10年前に初版発行のようだから、その名残だろうか。
ウォーターフォール型の開発モデルで、脆弱性診断が専門の人にとっては、良い本かもしれない。
後半に報告書などのサンプルもあったから、ターゲットがその辺なんだろうか。
開発者にとっては、とにかくくどい。
ドコモのガラケー時代の話とか2020年の今では歴史書を読んでいるようだ。
ベストプラクティスとその理由を簡潔に教えて欲しいって人には、合ってないと思う。
最後まで読んだ結果、新たに得られた知識はあまり無い。
もっと簡潔に、こういうコードを打ち込むとこうなります。対策はこれです。
脆弱性の原因はこれです。
で伝えられる内容だと思う。
600ページ以上あるが、200ページほどにまとめられる内容だと思う。
無料のKindleアプリをダウンロードして、スマートフォン、タブレット、またはコンピューターで今すぐKindle本を読むことができます。Kindleデバイスは必要ありません 。詳細はこちら
Kindle Cloud Readerを使い、ブラウザですぐに読むことができます。
携帯電話またはEメールアドレスを入力する
リクエストを処理しています...
「リンクを送信」を押すと、Amazonの利用規約に同意したことになります。
お客様は、AmazonまたはAmazonの代理業者からのKindleアプリに関する自動テキストメッセージを、上記の携帯電話番号に受信することに同意するものとします。同意は購入の条件ではありません。メッセージおよびデータ料金が適用される場合があります。
著者をフォロー
何か問題が発生しました。後で再度リクエストしてください。
出版社より
本書は読者が脆弱性の実物にふれることを重視しています。そのため、読者が安心して攻撃方法を体験できるように、VirtualBoxの仮想マシン上で脆弱性のサンプルを試せるようにしました。実習に必要なソフトウェアは本書のサポートサイトからダウンロードできます。どうか、読者が自ら手を動かすことで、脆弱性の理解を深めていただければと思います。本書第2版がWebサイトにたずさわる多くの方のお役に立てることを願っています。
|
|
|
|
|---|---|---|
脆弱性とは、「悪用できるバグ」開発者にとってバグは身近なものです。アプリケーションにバグがあると様々な悪いことが起きます。たとえば、間違った結果を表示する、処理がいつまでたっても終わらない、画面が乱れる、異常に遅い、などなどです。そして、バグの中には、悪用ができてしまうものもあります。そのようなバグのことを脆弱性(vulnerability)またはセキュリティバグと呼びます。脆弱性は「ぜい弱性」と表記される場合もあります。Webアプリケーションの脆弱性がボットネットワークの構築に使われています。その様子を図1-1に示しました。 |
実習環境の概要本書では上記の環境をセットアップしたVirtualBox仮想マシンをダウンロードできるよう用意しました。VirtualBox上でLinuxを動かすイメージを下図に示します。仮想マシン上のLinuxサーバーは実際には読者のPCで動いていますが、これをインターネット上のサーバーであると見なしてください。仮想マシンの利用により、インターネット上のサーバーに近い環境を手元のPC上に再現することができます。 |
クロスサイト・スクリプティング様々な状況で発生するクロスサイト・スクリプティング脆弱性について、前項を補足する内容を説明します。具体的には、href属性などURLを保持する属性値、イベントハンドラのスクリプト、script要素内についてです。外部から変更できるパラメータがどこに置かれているかによってエスケープ方法が変わるため、先に紹介した図を拡張したものを示します。 |
|
|
|
|
|---|---|---|
「重要な処理」の際に混入する脆弱性これは、CSRF攻撃のための罠のHTMLファイルです。攻撃者はインターネット上のどこかにこのファイルを置き、攻撃対象サイトの利用者が見そうなコンテンツから誘導します。攻撃対象サイトの利用者がこのHTMLを閲覧した際の様子を図に示します。 |
CSRF攻撃とXSS攻撃の比較CSRFと(反射型の)XSSは名前が似ているだけでなく、攻撃に至るシナリオが似ており、さらに攻撃の影響が一部重なっているので、両者を混同する人が少なくありません。両者を比較するために、図にCSRFと反射型XSSの攻撃シナリオを示します。CSRFとXSSは、①から③までは似た経路をたどりますが、その後が違います。 |
クリックジャッキング対策frameおよびiframeでの参照を制限するX-Frame-Optionsという仕様が米Microsoft社から提唱され、現在では主要ブラウザ(IE、Firefox、Google Chrome、Safari、Opera)の最新版で採用されています。この仕様に対応することによりクリックジャッキング対策が容易にできるようになっています。X-Frame-Optionsはレスポンスヘッダとして定義されており、DENY(拒否)あるいはSAMEORIGIN(同一生成元に限り許可)のいずれかの値をとります。DENYを指定したレスポンスはframeなどの内側で表示されなくなります。SAMEORIGINの場合は、アドレスバーに表示されたオリジンと同じオリジンである場合のみ表示されます。 |
