Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術

上野宣

※この商品はタブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。

本書はWebアプリケーションの脆弱性をチェックするための解説書です。Webアプリケーションはユーザーの個人情報や商品情報など重要な情報を扱っています。Webアプリケーションの開発者がセキュリティに自信がある場合でも、開発者のちょっとした打ち間違いや、勘違いがあることでWebアプリケーションに進入・改ざんなどが行われこれらの個人情報が悪用される恐れがあります。
本書ではWebアプリケーションの開発後にセキュリティを確認するための脆弱性診断についてまとめています。脆弱性診断を行う際のスタンダードツールとなっているOWASP ZAPとBurp Suiteを使用することで、開発者やセキュリティ担当者がセキュリティに問題がないかを検査することができます。
本書の前半では、Webアプリケーションがどのような仕組みで通信をし、どのようにして脆弱性が起こるのかといった診断に必要なネットワークの知識を学んでいきます。後半では、実際に問題があるBAD STOREというWebアプリケーションデータを使用し、仮想マシン上で実際に手を動かしながら脆弱性診断の手法を学んでいきます。診断の仕方はOWASP ZAPを使用して通信経路などを診断する方法と、手動で検索窓などにパラメータを挿入し診断する方法など様々な手法を解説しています。
著者の上野宣はOWASP ZAPの日本リーダーであり、脆弱性診断の第一人者です。脆弱性診断の手法を身に付けることで、セキュリティを客観的に判断することができますので、Webアプリケーションの開発者だけでなく、経営者の方にもおすすめの1冊です。
※電子書籍版にはチェックシートは付属していません。
※本電子書籍は同名出版物を底本として作成しました。記載内容は印刷出版当時のものです。
※印刷出版再現のため電子書籍としては不要な情報を含んでいる場合があります。
※印刷出版とは異なる表記・表現の場合があります。予めご了承ください。
※プレビューにてお手持ちの電子端末での表示状態をご確認の上、商品をお買い求めください。

• カテゴリ: ビジネス・実用
• ジャンル: IT・コンピュータ / 情報科学
• 出版社: 翔泳社
• ページ数: 320ページ
• 電子版発売日: 2016年08月12日
• コンテンツ形式: EPUB
• サイズ(目安): 106MB

[ブクログ · ★★★☆☆]

Webセキュリティのお勉強。

・脆弱性を発見するヒント集
　記号の挿入
　パラメーターの値を変更
　ヌルバイト（%00）の挿入
　クロスサイトスクリプティング
　セカンドオーダーSQLインジェクションの確認

・CVSS(Common Vulnerability Scoring System)
共通脆弱性評価システムは、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指した指標。
　深刻度を０（低）〜10.0（高）の数値