読んだ本
概要
Webアプリで起こり得る脆弱性を、タイトル通り体系的に学べる本でした。初学者でも、少し負荷は高いですが網羅的に学べるのでとてもいい本だと思います。
全体的に名前や原理だけを知っていたものが多かったですが、具体的にどう起こされるのかという手段についても細かく説明されていて勉強になります。
7章以降、Webサーバーの脆弱性の診断方法や、開発についても言及されているところも良かったです。
下記目次になっています。
1章 Webアプリケーションの脆弱性とは
2章 実習環境のセットアップ
3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー
4章 Webアプリケーションの機能別に見るセキュリティバグ
5章 代表的なセキュリティ機能
6章 文字コードとセキュリティ
7章 脆弱性診断入門
8章 Webサイトの安全性を高めるために
9章 安全なWebアプリケーションのための開発マネジメント
おすすめの人
- Webセキュリティが全然わからない初学者
- XSSやSQLインジェクションなど、原理は理解しているけど、どう起きるのかが知りたい人
次に読むなら
- 本書ではPHPが例になっていますが、Rubyなど他の言語でも起こり得るため、自分がよく使っているフレームワークがどう対策しているのか調べるのが次のステップになりそうです。OSSだったらソースコードを読んでみるのが一番良さそうです
感想
内容やどうして起きるのか知っているものが多かったが、どうやって攻撃されているのか理解しきれていなかった箇所が多く、勉強になりました。
基本的にはバッドプラクティスとされていたり、フレームワーク側の機能を適切に使っていれば回避できることが多いため、実際の開発の場面で問題になることは少なくなっているかとは感じました。
ただ、問題が発生した場合の被害範囲がとても大きくなってしまう可能性もあり、必須の知識だと思います。
昔、SQLインジェクションし放題のアプリケーションが納品されていて冷や汗をかいた記憶を思い出しました笑