体系的に学ぶ 安全なWebアプリケーションの作り方 第2版［リフロー版］　脆弱性が生まれる原理と対策の実践 [Kindle]

著者 : 徳丸浩

• SBクリエイティブ (2018年6月20日発売)

感想・レビュー・書評

[Ihatov@1416さんの感想 · 2022年5月10日]

WEBアプリケーションの第一人者、徳丸浩先生によるセキュリティ本。
全ての日本人エンジニア全員が既に読んでいてほしい本。
どうセキュリティを守るのかが具体的に多くの手法が描かれている。どうすればいいのかの答えがこの本には書いてあります。

[かわたろうさんの感想 · 2021年2月23日]

ターゲットはシステム開発/運用に関わるすべてのWebエンジニア。

システムで発生し得る脆弱性とその対策を網羅的に解説しており、Webエンジニアに必要な基礎的なセキュリティ知識が得られる本。

概要→攻撃手法(サンプルコードあり)→脆弱性の原因→対策
の順に脆弱性が説明されていて理解しやすい。

脆弱性をすべて記憶することは難しいため、敢えてWebエンジニアの心得としてまとめると、
①セキュリティが関わる機能は可能な限り自作せずにこれまで揉まれてきたライブラリやサーバの機能を利用すること
②入力値バリデーションをして、意図しないメタ文字(JavaScript/SQLなど)を排除しインジェクションを避けること
③URL/クッキー/ローカルストレージなど比較的容易に漏洩する部分に機密情報を載せないこと
④正当な送信元/送信先かトークン等を用いてチェックすること
⑤ユーザが見ないリソースについては非公開にするか、難しい場合は推測されづらくすること

[yuki0920さんの感想 · 2020年8月2日]

Webアプリケーションのセキュリティを網羅している良書。
リファレンスに適している。

著者プロフィール

1985年京セラ株式会社に入社後、ソフトウェアの開発。企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会を通じてセキュリティの啓蒙活動を行っている。EGセキュアソリューションズ株式会社代表、OWASP Japanアドバイザリーボード、独立行政法人情報処理推進機構（IPA）非常勤研究員。

「2018年 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』 で使われていた紹介文から引用しています。」