【感想・ネタバレ】体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践のレビュー

徳丸浩

※この電子書籍は固定レイアウト型で配信されております。固定レイアウト型は文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。

Webアプリケーションにはなぜ脆弱性が生まれるのか？ 脆弱性を解消するにはどうプログラミングすればよいか？ 仮想マシン上で動作する脆弱性サンプルへの攻撃を通して具体的な脅威と対処方法が学べる、すべてのWebアプリケーション開発者必携の決定版解説書！

[ブクログ · ★★★★★]

たくさんの先人たちがお勧めするだけあって、すごくためになるし知識量も多いしわかりやすくて面白い。今回は携帯電話時代の初版の本だけど、第二版ももう一回読み返したいくらい楽しかった！

この本に載っているさまざまな攻撃タイプは事前に知っているものが多かったけど、どのような脆弱に、どのように攻撃をするか、また対策するかは知らなかったので、その辺りについて優しく画像付きで教えてくれてわかりやすかった。

全体的に業務で使う時などに「かなり」役立てそうな印象でした。というか必須です。

【読書メモ】
「非同期は速度を上げるための発明」
「排他は安全を守るための発明」

今ログインしてないのに勝手に入れてくれるやつ、あれ地味にすごいと思った。たぶん過去の認可とトークン再利用なんだろうけど、ちゃんと仕組みを知りたくなった。

[ブクログ · ★★★★★]

ウェブアプリケーション開発にまつわる、様々な脆弱性を扱った本。
この本は、脆弱性について紹介するだけでなく、
・脆弱性発生の仕組み
・脆弱性の再現と体験
・脆弱性への対策とまとめ
という踏み込んだ具体的な内容が書かれている。とても実践的な内容だ。
なお、本書で使われている言語はPHPが主流である。

巷でよく聞く脆弱性としては、XSSやCSRF、SQLインジェクションが一般的で有名だと思うが、この本はそれだけにとどまらず本当に幅広く扱っている。文字コードにかかわる脆弱性であったり、サーバー設定にかかわる脆弱性であったり、認証認可にかかわる脆弱性であったりと、ウェブアプリケーションにまつわる脆弱性とセキュリティ対策の奥深さを感じさせてくれる。

そんな奥深さと幅広さゆえ、本書は分厚くて読むのをためらわれる人がいるかと思うが、ソフトウェア開発者としては絶対に読んでほしい一冊である。昨今、脆弱性をつつかれて情報漏えいする事案が多発している。したがって最低限、本書に書かれている内容を把握して、アプリケーション開発に取り組む必要があり、脆弱性による被害を未然に防ぐ（または最小限にとどめる）ことが大切である。

[ブクログ · ★★★★★]

これまではセキュリティに関しては面倒くさいと思って他人任せで場当たり的にきたけど、自分一人でWebアプリを作ることになってそうも言っていられなくなったので手始めに読んだ。

実際マジメに取り組んでみると、攻撃と防御の手段が多彩で意外性があって、パズル的で結構面白いのかもと思った。

書名にもあるように体系的に書かれているので、対策に漏れがないか確認するのに良い。セキュリティーは1箇所でも弱いところがあると台なしになるので体系的にもれなく確認するのは重要と思う。私もいくつか対策漏れに気付けた。
・登録リクエストにトークンを付加してCSRF対策
・ログインでセッションIDを変更してセッションハイジャック対策

[ブクログ · ★★★★★]

分厚いけど、一読の価値アリです。

Webアプリケーションのセキュリティに注意すべきところをこれでもかというぐらいに記している一冊。

本書を見るとまず、「Webセキュリティとはこんなに幅広いところまで考えんとあかんのか！」と驚いてしまう。
それに対して、丁寧に実証コードと対策まで書かれている。

ソースはPHPなのだが、そこで拒否反応を起こすのはあまりにも惜しい。コードのところは読まなくてよいので、考えられる脆弱性について知識を入れておくのはこれからのWeb技術者にとって必須と思う。

[ブクログ · ★★★★★]

サンプルは PHP だが、基本的な Web アプリケーションのセキュリティの問題が扱われているので、言語問わず Web アプリケーション開発者におすすめ。

一般的な内容が多いが、ことセキュリティに関して再確認する意味でも 1 度は読んでおいて損はないかと思います。

[ブクログ · ★★★★★]

内容が面白いなぁ。AppScan使った時に色々勉強したけど、その時にこの本があれば学習コストがもっと軽減できたし、かつ、理解が深まったなぁ。

実践的で面白いし、何が問題なのかわかって超楽しい。

[ブクログ · ★★★★★]

Webサービスを開発する人はぜひとも読んでおくべき本。

問題点の概要、影響や対策まで書かれており非常にためになる。
中途半端な知識しかなく、中途半端な対策しかできていない人の脳の整理を助けてくれる。

[ブクログ · ★★★★★]

この分野で書籍化されている最新かつ詳細に体系化されている好著。ＷＥＢサイト制作の現場ではデザイン性やユーザビリティが云々されることは多いが、セキュリティ要件は素人同然という場合が多い。デザイン寄りの人は、システム寄りの人より、通読は辛いかもしれないが、何が肝かを知る意味でも得るものは大きいと思う。

[ブクログ · ★★★★☆]

遅ればせながら読んだ。出てから5年経っていてガラケーの認証とかけっこう古い話になっちゃってるから、改訂版出ないかな。
今まで何となく使っていたフレームワークの機能が何のためにあるのか勉強になった。

[ブクログ · ★★★★☆]

脆弱性の具体例と対策が併記され実践的
XSS，SQLインジェクション，OSコマンドインジェクション，文字エンコーディングなど広範に渡って脆弱性とその対策方法について具体的なコードを示しながら説明している。実践的で有益だと感じた。参考情報も掲載されており，詳しい内容についての追加情報も得やすくなっている。
今のところは必要ないが，自分でWebサイトを運営するときなどに手元に一冊おいておきたいと感じた。

[ブクログ · ★★★★☆]

Webアプリケーションに対するセキュリティ脅威とその対策についてきれいにまとめられている。セキュリティ脅威が具体例で示されているため、実際の動きを理解しやすい。

[ブクログ · ★★★★☆]

クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、セッションハイジャックなど一般的な脆弱性のしくみがそこそこ詳しく解説されている。

わかりやすいけど内容が内容だけに、似たような状況で発生したり、かなりトリッキーなシナリオだったりで頭の中で全体を整理しきれない事態に陥る。

アプリケーション開発でどんなことに気をつけなきゃいけないのかの素養はできたかなくらい。