徳丸浩のレビュー一覧
-
Posted by ブクログ
たくさんの先人たちがお勧めするだけあって、すごくためになるし知識量も多いしわかりやすくて面白い。今回は携帯電話時代の初版の本だけど、第二版ももう一回読み返したいくらい楽しかった!
この本に載っているさまざまな攻撃タイプは事前に知っているものが多かったけど、どのような脆弱に、どのように攻撃をするか、また対策するかは知らなかったので、その辺りについて優しく画像付きで教えてくれてわかりやすかった。
全体的に業務で使う時などに「かなり」役立てそうな印象でした。というか必須です。
【読書メモ】
「非同期は速度を上げるための発明」
「排他は安全を守るための発明」
今ログインしてないのに勝手に入れて -
-
-
-
Posted by ブクログ
いわゆる「徳丸本」で,Webアプリケーションを作るには必須レベルの教本に位置付けられていると思われる。
実習環境としてFirefox(拡張FoxyProxy-Standard)やVirtualBox,無償ツールのOWASP ZAPを用いて,実際に脆弱性が分かるような構成になっている。
中でもWebアプリケーションの脆弱性(4章)に多くのページが割かれており,著者の本気度が伺える(?)。そのもくじはこちら:
1 Webアプリケーションの機能と脆弱性の対応
2 入力処理とセキュリティ
3 表示処理に伴う問題
4 SQL呼び出しに伴う脆弱性
5 「 重要な処理」の際に混入する脆弱性
-
Posted by ブクログ
軽い気持ちで作ったものが、どれだけ脆弱性を孕んでいるかを自覚出来る。
多種多様な攻撃手法について、原因・対策・影響の説明。
ただ文章で説明するだけでなく、こうすればこうなる と いうものが実際やれるように、その状況を作るソースや手順があるので、試してみるとより頭に入りやすい。
※付属CDがあれば、打ち込まずにすぐ試せるので、オススメ。
## この本の売り
そこまで厚くはない割に種類は豊富だしわかりやすい。
webアプリケーションに関わるのであれば、基本として読んでおいた方がいい書籍。
もちろん各々の状況や都合もあるし、対策がこれが全てではない。 -
-
Posted by ブクログ
ウェブアプリケーション開発にまつわる、様々な脆弱性を扱った本。
この本は、脆弱性について紹介するだけでなく、
・脆弱性発生の仕組み
・脆弱性の再現と体験
・脆弱性への対策とまとめ
という踏み込んだ具体的な内容が書かれている。とても実践的な内容だ。
なお、本書で使われている言語はPHPが主流である。
巷でよく聞く脆弱性としては、XSSやCSRF、SQLインジェクションが一般的で有名だと思うが、この本はそれだけにとどまらず本当に幅広く扱っている。文字コードにかかわる脆弱性であったり、サーバー設定にかかわる脆弱性であったり、認証認可にかかわる脆弱性であったりと、ウェブアプリケーションにまつわる脆弱 -
Posted by ブクログ
これまではセキュリティに関しては面倒くさいと思って他人任せで場当たり的にきたけど、自分一人でWebアプリを作ることになってそうも言っていられなくなったので手始めに読んだ。
実際マジメに取り組んでみると、攻撃と防御の手段が多彩で意外性があって、パズル的で結構面白いのかもと思った。
書名にもあるように体系的に書かれているので、対策に漏れがないか確認するのに良い。セキュリティーは1箇所でも弱いところがあると台なしになるので体系的にもれなく確認するのは重要と思う。私もいくつか対策漏れに気付けた。
・登録リクエストにトークンを付加してCSRF対策
・ログインでセッションIDを変更してセッションハイジ -
-
-
-
-
-
-
-
-
Posted by ブクログ
Webアプリケーションの脆弱性とその対策を学ぶためによい。
脆弱性の概要やその動作を実際にソフトウェアを実際に動かしながら学ぶことができる。
多くの脆弱性が掲載されているため、webセキュリティについて一通り学んでおきたい場合には非常に有用である。
一方で、対象とするソフトウェアがPHPやそのライブラリを前提としている。
このため、プログラミング言語に依存しない体系的な知識を学ぶつもりでいると若干期待とのずれが生じる点に注意が必要。
要求されるPHPの知識は高くないので何かしらのプログラミング言語を習得していれば問題ないが、
脆弱性や対策の説明がPHPに若干偏っており、一例としてPHPが挙げ -
-