体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- SBクリエイティブ (2018年6月21日発売)
- Amazon.co.jp ・本 (688ページ)
- / ISBN・EAN: 9784797393163
作品紹介・あらすじ
Webアプリケーションにはなぜ脆弱性が生まれるのか?
脆弱性を解消するにはどうプログラミングすればよいか?
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる!
Webアプリ開発者の必読書、待望の改訂版!
OWASP Top 10 - 2017対応
・実習環境は最新のものに更新
・HTML5によるWebアプリケーション制作で注意するべき内容を加筆
・クリックジャッキングなどの新しく知っておくべき脆弱性を加筆
・脆弱性診断入門の章を新設
・携帯電話向けWebアプリケーションの脆弱性対策の章は削除
感想・レビュー・書評
-
Webアプリケーションの脆弱性とその対策を学ぶためによい。
脆弱性の概要やその動作を実際にソフトウェアを実際に動かしながら学ぶことができる。
多くの脆弱性が掲載されているため、webセキュリティについて一通り学んでおきたい場合には非常に有用である。
一方で、対象とするソフトウェアがPHPやそのライブラリを前提としている。
このため、プログラミング言語に依存しない体系的な知識を学ぶつもりでいると若干期待とのずれが生じる点に注意が必要。
要求されるPHPの知識は高くないので何かしらのプログラミング言語を習得していれば問題ないが、
脆弱性や対策の説明がPHPに若干偏っており、一例としてPHPが挙げられているというより、
説明自体は汎用的ではあるが具体的にはPHPの場合はこう、他の言語の場合は自分で検討する必要がある、という印象を受けた。詳細をみるコメント0件をすべて表示 -
ようやく読めた。
かなり濃い内容 -
セキュアなコードの書き方を具体例と一緒に教えてくれる。
普段コードを読んでいる人なら、読み始めれば気にならない分量だと思う。 -
Webアプリケーション開発者であれば必読の書籍。
内容はほぼPHPとJavaScriptで解説されているため、JavaScriptはともかくPHPを利用してない開発者は脳内で読み替える必要がある。ただ、各コードのボリュームは少ないため、そこまで苦労しないと思う。
また、本書は各攻撃方法と対策についてがカタログ形式で参照可能な作りになっているため、手元に置いておいて都度必要な時に参照したい一冊となっている。
脆弱性チェックツールについての記載もあり、脆弱性チェックを機械的に行うためにも使用できる。 -
セキュリティ関連の大抵のことは、知識としては持っているけど、実際に攻撃されたこともないし、どこか現実的に感じない。
この本では実際に試すことができ、実感できるのがすばらしい。でかくて重い本だけど、全てが大切な内容。難しいものではないので、しっかりと全ておさえておきたいところ。 -
ハンズオンでじっくりやりたい。
-
Webアプリケーションの開発に従事している人ならば読んでおくべき本。
-
基本的な脆弱性などについて再認識できたが、
各章の横の繋がりなどは引き続き理解していきたい。 -
ITエンジニア本大賞より (https://www.shoeisha.co.jp/campaign/award)
-
いわゆる「徳丸本」で,Webアプリケーションを作るには必須レベルの教本に位置付けられていると思われる。
実習環境としてFirefox(拡張FoxyProxy-Standard)やVirtualBox,無償ツールのOWASP ZAPを用いて,実際に脆弱性が分かるような構成になっている。
中でもWebアプリケーションの脆弱性(4章)に多くのページが割かれており,著者の本気度が伺える(?)。そのもくじはこちら:
1 Webアプリケーションの機能と脆弱性の対応
2 入力処理とセキュリティ
3 表示処理に伴う問題
4 SQL呼び出しに伴う脆弱性
5 「 重要な処理」の際に混入する脆弱性
6 セッション管理の不備
7 リダイレクト処理にまつわる脆弱性
8 クッキー出力にまつわる脆弱性
9 メール送信の問題
10 ファイルアクセスにまつわる問題
11 OSコマンド呼び出しの際に発生する脆弱性
12 ファイルアップロードにまつわる問題
13 インクルードにまつわる問題
14 構造化データの読み込みにまつわる問題
15 共有資源やキャッシュに関する問題
16 Web API実装における脆弱性
17 JavaScriptの問題
ある程度の基礎知識は自分で調べる必要があるだろうが,実践の面では本書は重宝する本だろう。