徳丸浩のレビュー一覧

セキュアなコードの書き方を具体例と一緒に教えてくれる。
普段コードを読んでいる人なら、読み始めれば気にならない分量だと思う。

Webアプリケーション開発者であれば必読の書籍。

内容はほぼPHPとJavaScriptで解説されているため、JavaScriptはともかくPHPを利用してない開発者は脳内で読み替える必要がある。ただ、各コードのボリュームは少ないため、そこまで苦労しないと思う。
また、本書は各攻撃方法と対策につい...続きを読むてがカタログ形式で参照可能な作りになっているため、手元に置いておいて都度必要な時に参照したい一冊となっている。
脆弱性チェックツールについての記載もあり、脆弱性チェックを機械的に行うためにも使用できる。

いわゆる「徳丸本」で，Webアプリケーションを作るには必須レベルの教本に位置付けられていると思われる。

実習環境としてFirefox（拡張FoxyProxy-Standard）やVirtualBox，無償ツールのOWASP ZAPを用いて，実際に脆弱性が分かるような構成になっている。

中でもWe...続きを読むbアプリケーションの脆弱性（4章）に多くのページが割かれており，著者の本気度が伺える（？）。そのもくじはこちら：

1 Webアプリケーションの機能と脆弱性の対応

2 入力処理とセキュリティ

3 表示処理に伴う問題

4 SQL呼び出しに伴う脆弱性

5 「 重要な処理」の際に混入する脆弱性

6 セッション管理の不備

7 リダイレクト処理にまつわる脆弱性

8 クッキー出力にまつわる脆弱性

9 メール送信の問題

10 ファイルアクセスにまつわる問題

11 OSコマンド呼び出しの際に発生する脆弱性

12 ファイルアップロードにまつわる問題

13 インクルードにまつわる問題

14 構造化データの読み込みにまつわる問題

15 共有資源やキャッシュに関する問題

16 Web API実装における脆弱性

17 JavaScriptの問題


ある程度の基礎知識は自分で調べる必要があるだろうが，実践の面では本書は重宝する本だろう。

軽い気持ちで作ったものが、どれだけ脆弱性を孕んでいるかを自覚出来る。

多種多様な攻撃手法について、原因・対策・影響の説明。
ただ文章で説明するだけでなく、こうすればこうなる　と　いうものが実際やれるように、その状況を作るソースや手順があるので、試してみるとより頭に入りやすい。
※付属CDがあれば、...続きを読む打ち込まずにすぐ試せるので、オススメ。

## この本の売り
そこまで厚くはない割に種類は豊富だしわかりやすい。
webアプリケーションに関わるのであれば、基本として読んでおいた方がいい書籍。
もちろん各々の状況や都合もあるし、対策がこれが全てではない。

2周しました。
わかりやすくてとにかく手を動かすことを大事にしていて、理解した気になれるし理解は深まった気がします。この本から初めて今競技プログラミングにチャレンジしてみたり、楽しいです。
そんなスタートダッシュのために助走をつけてくれた本です。

ウェブアプリケーション開発にまつわる、様々な脆弱性を扱った本。
この本は、脆弱性について紹介するだけでなく、
・脆弱性発生の仕組み
・脆弱性の再現と体験
・脆弱性への対策とまとめ
という踏み込んだ具体的な内容が書かれている。とても実践的な内容だ。
なお、本書で使われている言語はPHPが主流である。
...続きを読む
巷でよく聞く脆弱性としては、XSSやCSRF、SQLインジェクションが一般的で有名だと思うが、この本はそれだけにとどまらず本当に幅広く扱っている。文字コードにかかわる脆弱性であったり、サーバー設定にかかわる脆弱性であったり、認証認可にかかわる脆弱性であったりと、ウェブアプリケーションにまつわる脆弱性とセキュリティ対策の奥深さを感じさせてくれる。

そんな奥深さと幅広さゆえ、本書は分厚くて読むのをためらわれる人がいるかと思うが、ソフトウェア開発者としては絶対に読んでほしい一冊である。昨今、脆弱性をつつかれて情報漏えいする事案が多発している。したがって最低限、本書に書かれている内容を把握して、アプリケーション開発に取り組む必要があり、脆弱性による被害を未然に防ぐ（または最小限にとどめる）ことが大切である。

これまではセキュリティに関しては面倒くさいと思って他人任せで場当たり的にきたけど、自分一人でWebアプリを作ることになってそうも言っていられなくなったので手始めに読んだ。

実際マジメに取り組んでみると、攻撃と防御の手段が多彩で意外性があって、パズル的で結構面白いのかもと思った。

書名にもあるよう...続きを読むに体系的に書かれているので、対策に漏れがないか確認するのに良い。セキュリティーは1箇所でも弱いところがあると台なしになるので体系的にもれなく確認するのは重要と思う。私もいくつか対策漏れに気付けた。
・登録リクエストにトークンを付加してCSRF対策
・ログインでセッションIDを変更してセッションハイジャック対策

サンプルは PHP だが、基本的な Web アプリケーションのセキュリティの問題が扱われているので、言語問わず Web アプリケーション開発者におすすめ。

一般的な内容が多いが、ことセキュリティに関して再確認する意味でも 1 度は読んでおいて損はないかと思います。

内容が面白いなぁ。AppScan使った時に色々勉強したけど、その時にこの本があれば学習コストがもっと軽減できたし、かつ、理解が深まったなぁ。

実践的で面白いし、何が問題なのかわかって超楽しい。

Webサービスを開発する人はぜひとも読んでおくべき本。

問題点の概要、影響や対策まで書かれており非常にためになる。
中途半端な知識しかなく、中途半端な対策しかできていない人の脳の整理を助けてくれる。

この分野で書籍化されている最新かつ詳細に体系化されている好著。ＷＥＢサイト制作の現場ではデザイン性やユーザビリティが云々されることは多いが、セキュリティ要件は素人同然という場合が多い。デザイン寄りの人は、システム寄りの人より、通読は辛いかもしれないが、何が肝かを知る意味でも得るものは大きいと思う。

セキュリティ関連の大抵のことは、知識としては持っているけど、実際に攻撃されたこともないし、どこか現実的に感じない。
この本では実際に試すことができ、実感できるのがすばらしい。でかくて重い本だけど、全てが大切な内容。難しいものではないので、しっかりと全ておさえておきたいところ。

Webアプリケーションの脆弱性とその対策を学ぶためによい。
脆弱性の概要やその動作を実際にソフトウェアを実際に動かしながら学ぶことができる。
多くの脆弱性が掲載されているため、webセキュリティについて一通り学んでおきたい場合には非常に有用である。

一方で、対象とするソフトウェアがPHPやそのライ...続きを読むブラリを前提としている。
このため、プログラミング言語に依存しない体系的な知識を学ぶつもりでいると若干期待とのずれが生じる点に注意が必要。
要求されるPHPの知識は高くないので何かしらのプログラミング言語を習得していれば問題ないが、
脆弱性や対策の説明がPHPに若干偏っており、一例としてPHPが挙げられているというより、
説明自体は汎用的ではあるが具体的にはPHPの場合はこう、他の言語の場合は自分で検討する必要がある、という印象を受けた。

Web開発の勉強会で著者の講座を聞いて購入。
自作Webアプリのログイン周りで使っていたGemに脆弱性が見つかったり、7payのパスワード認証に欠陥があってニュースになっていたり。その都度答え合わせのように読んでいます。
著者のTwitterアカウントをフォローしておくと、どこかでセキュリティインシ...続きを読むデントが起こるたびにこの本のどこで答え合わせができるか紹介されるので面白い。

前作が良かったので読んだ。
相変わらずわかりやすい。
多少高度な内容を含むが、つまずくことはなかった。

webアプリでどんな脆弱性があってどのように生まれるのか、どのように悪用されるのかが、まさに体系的に学べた。

当方webアプリケーションには詳しくないので、あまり具体的に詳細には理解できなかったけど。

開発目線では、やはりユーザー入力時の脆弱性を悪用したインジェクションがもっとも注意が必要ですと...続きを読む。
ユーザー目線では、パスワードは長いものにしましょう。

文字エンコーディングによる脆弱性がうまれるとは、なるほどと。

遅ればせながら読んだ。出てから5年経っていてガラケーの認証とかけっこう古い話になっちゃってるから、改訂版出ないかな。
今まで何となく使っていたフレームワークの機能が何のためにあるのか勉強になった。

脆弱性の具体例と対策が併記され実践的
XSS，SQLインジェクション，OSコマンドインジェクション，文字エンコーディングなど広範に渡って脆弱性とその対策方法について具体的なコードを示しながら説明している。実践的で有益だと感じた。参考情報も掲載されており，詳しい内容についての追加情報も得やすくなってい...続きを読むる。
今のところは必要ないが，自分でWebサイトを運営するときなどに手元に一冊おいておきたいと感じた。

Webアプリケーションに対するセキュリティ脅威とその対策についてきれいにまとめられている。セキュリティ脅威が具体例で示されているため、実際の動きを理解しやすい。