WEBアプリケーションにおいて気をつけるべきセキュリティについて一通り学べる本。
物凄く分厚い本ですが、分かりやすい文章なので新人エンジニアの方でもサクサク読み進められます。
また、実際に動かして学ぶことができるので頭に入りやすく、即現場で生かすことが可能です。
いまいちセキュリティ対策って何すればいいんだ?って方には絶対読んでほしい必読書!!!
文句なしの星五つです✨
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 (日本語) 単行本 – 2018/6/21
Kindle 端末は必要ありません。無料 Kindle アプリのいずれかをダウンロードすると、スマートフォン、タブレットPCで Kindle 本をお読みいただけます。
-
Apple
-
Android
-
Android
無料アプリを入手するには、Eメールアドレスを入力してください。
1分以内にKindleで 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践 をお読みいただけます。
Kindle をお持ちでない場合、こちらから購入いただけます。 Kindle 無料アプリのダウンロードはこちら。
Kindle をお持ちでない場合、こちらから購入いただけます。 Kindle 無料アプリのダウンロードはこちら。
無料で使えるブックカバー
好きなデザインを選んで取り付けよう! 詳しくはこちら。
商品の説明
内容紹介
攻撃と防御の知識を一冊に凝縮!
日本中の現場で支持されたベストセラーが、最新環境にあわせて全面刷新+大増ページ!
Webアプリケーションにはなぜ脆弱性が生まれるのか?
脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリ開発者の必読書、待望の改訂版!
OWASP Top 10 - 2017対応
<主な改訂内容>
・HTML5の普及に対応してWeb APIやJavaScriptに関する解説を新設
・OWASP Top 10 - 2017に対応して、XXEや安全でないデシリアライゼーションなどを解説
・脆弱性診断に対する関心が高まっていることから、脆弱性診断の入門の章を親設
・IE7のサポート終了など現在のソフトウェアの状況に対応
・実習環境をWindowsに加えてMacにも対応
内容(「BOOK」データベースより)
Webアプリ開発者が知っておくべき、攻撃と防御の知識を徹底解説!PHPサンプルへの攻撃を通して、脆弱性が生まれる原理と具体的な対処法が学べる!日本中の現場で支持されたベストセラー待望の改訂版!最新環境にあわせて全面刷新+大増ページ。OWASP Top 10‐2017対応。
著者について
●徳丸 浩(とくまる ひろし)
1985年京セラ株式会社に入社後、ソフトウェアの開発。企画に従事。
1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。
2004年同分野を事業化。2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会を通じてセキュリティの啓蒙活動を行っている。
EGセキュアソリューションズ株式会社代表、OWASP Japanアドバイザリーボード、独立行政法人情報処理推進機構(IPA)非常勤研究員。
著者略歴 (「BOOK著者紹介情報」より)
徳丸/浩
1985年京セラ株式会社に入社後、ソフトウェアの開発・企画に従事。1999年に携帯電話向け認証金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会を通じてセキュリティの啓蒙活動を行っている。EGセキュアソリューションズ株式会社代表、OWASP Japanアドバイザリーボート、独立行政法人情報処理推進機構(IPA)非常勤研究員(本データはこの書籍が刊行された当時に掲載されていたものです)
出版社より
本書は読者が脆弱性の実物にふれることを重視しています。そのため、読者が安心して攻撃方法を体験できるように、VirtualBoxの仮想マシン上で脆弱性のサンプルを試せるようにしました。実習に必要なソフトウェアは本書のサポートサイトからダウンロードできます。どうか、読者が自ら手を動かすことで、脆弱性の理解を深めていただければと思います。本書第2版がWebサイトにたずさわる多くの方のお役に立てることを願っています。
|
|
|
|
|---|---|---|
脆弱性とは、「悪用できるバグ」開発者にとってバグは身近なものです。アプリケーションにバグがあると様々な悪いことが起きます。たとえば、間違った結果を表示する、処理がいつまでたっても終わらない、画面が乱れる、異常に遅い、などなどです。そして、バグの中には、悪用ができてしまうものもあります。そのようなバグのことを脆弱性(vulnerability)またはセキュリティバグと呼びます。脆弱性は「ぜい弱性」と表記される場合もあります。Webアプリケーションの脆弱性がボットネットワークの構築に使われています。その様子を図1-1に示しました。 |
実習環境の概要本書では上記の環境をセットアップしたVirtualBox仮想マシンをダウンロードできるよう用意しました。VirtualBox上でLinuxを動かすイメージを下図に示します。仮想マシン上のLinuxサーバーは実際には読者のPCで動いていますが、これをインターネット上のサーバーであると見なしてください。仮想マシンの利用により、インターネット上のサーバーに近い環境を手元のPC上に再現することができます。 |
クロスサイト・スクリプティング様々な状況で発生するクロスサイト・スクリプティング脆弱性について、前項を補足する内容を説明します。具体的には、href属性などURLを保持する属性値、イベントハンドラのスクリプト、script要素内についてです。外部から変更できるパラメータがどこに置かれているかによってエスケープ方法が変わるため、先に紹介した図を拡張したものを示します。 |
|
|
|
|
|---|---|---|
「重要な処理」の際に混入する脆弱性これは、CSRF攻撃のための罠のHTMLファイルです。攻撃者はインターネット上のどこかにこのファイルを置き、攻撃対象サイトの利用者が見そうなコンテンツから誘導します。攻撃対象サイトの利用者がこのHTMLを閲覧した際の様子を図に示します。 |
CSRF攻撃とXSS攻撃の比較CSRFと(反射型の)XSSは名前が似ているだけでなく、攻撃に至るシナリオが似ており、さらに攻撃の影響が一部重なっているので、両者を混同する人が少なくありません。両者を比較するために、図にCSRFと反射型XSSの攻撃シナリオを示します。CSRFとXSSは、①から③までは似た経路をたどりますが、その後が違います。 |
クリックジャッキング対策frameおよびiframeでの参照を制限するX-Frame-Optionsという仕様が米Microsoft社から提唱され、現在では主要ブラウザ(IE、Firefox、Google Chrome、Safari、Opera)の最新版で採用されています。この仕様に対応することによりクリックジャッキング対策が容易にできるようになっています。X-Frame-Optionsはレスポンスヘッダとして定義されており、DENY(拒否)あるいはSAMEORIGIN(同一生成元に限り許可)のいずれかの値をとります。DENYを指定したレスポンスはframeなどの内側で表示されなくなります。SAMEORIGINの場合は、アドレスバーに表示されたオリジンと同じオリジンである場合のみ表示されます。 |
登録情報
|
