【感想・ネタバレ】体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践のレビュー

徳丸浩

※この電子書籍は固定レイアウト型で配信されております。固定レイアウト型は文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。

日本中の現場で支持されたベストセラーが、最新環境にあわせて全面刷新＋大増ページ！

Webアプリケーションにはなぜ脆弱性が生まれるのか？
脆弱性を解消するにはどうプログラミングすればよいか？
PHPサンプルへの攻撃を通して脆弱性が生まれる原理と具体的な対処方法が学べる！

Webアプリ開発者の必読書、待望の改訂版！
OWASP Top 10 - 2017対応

<主な改訂内容>
・HTML5の普及に対応してWeb APIやJavaScriptに関する解説を新設
・OWASP Top 10 - 2017に対応して、XXEや安全でないデシリアライゼーションなどを解説
・脆弱性診断に対する関心が高まっていることから、脆弱性診断の入門の章を新設
・IE7のサポート終了など現在のソフトウェアの状況に対応
・実習環境をWindowsに加えてMacにも対応

[ブクログ · ★★★★★]

長らく積読になっていたけど、なんとか1周終了
•様々な事例が取り上げられていて良い勉強になった
•刊行後数年経過しているのにサポートページが充実していてとても良い
•コードの読み書きができない非エンジニアの私には難しい
•HTML,JavaScript,PHPを少し勉強してから2周目以降に取り組み、最低でも3周して理解を深めたい

[ブクログ · ★★★★★]

セキュアなコードの書き方を具体例と一緒に教えてくれる。
普段コードを読んでいる人なら、読み始めれば気にならない分量だと思う。

[ブクログ · ★★★★★]

Webアプリケーション開発者であれば必読の書籍。

内容はほぼPHPとJavaScriptで解説されているため、JavaScriptはともかくPHPを利用してない開発者は脳内で読み替える必要がある。ただ、各コードのボリュームは少ないため、そこまで苦労しないと思う。
また、本書は各攻撃方法と対策についてがカタログ形式で参照可能な作りになっているため、手元に置いておいて都度必要な時に参照したい一冊となっている。
脆弱性チェックツールについての記載もあり、脆弱性チェックを機械的に行うためにも使用できる。

[ブクログ · ★★★★★]

いわゆる「徳丸本」で，Webアプリケーションを作るには必須レベルの教本に位置付けられていると思われる。

実習環境としてFirefox（拡張FoxyProxy-Standard）やVirtualBox，無償ツールのOWASP ZAPを用いて，実際に脆弱性が分かるような構成になっている。

中でもWebアプリケーションの脆弱性（4章）に多くのページが割かれており，著者の本気度が伺える（？）。そのもくじはこちら：

1 Webアプリケーションの機能と脆弱性の対応

2 入力処理とセキュリティ

3 表示処理に伴う問題

4 SQL呼び出しに伴う脆弱性

5 「 重要な処理」の際に混入する脆弱性

6 セッション管理の不備

7 リダイレクト処理にまつわる脆弱性

8 クッキー出力にまつわる脆弱性

9 メール送信の問題

10 ファイルアクセスにまつわる問題

11 OSコマンド呼び出しの際に発生する脆弱性

12 ファイルアップロードにまつわる問題

13 インクルードにまつわる問題

14 構造化データの読み込みにまつわる問題

15 共有資源やキャッシュに関する問題

16 Web API実装における脆弱性

17 JavaScriptの問題


ある程度の基礎知識は自分で調べる必要があるだろうが，実践の面では本書は重宝する本だろう。

[ブクログ · ★★★★★]

軽い気持ちで作ったものが、どれだけ脆弱性を孕んでいるかを自覚出来る。

多種多様な攻撃手法について、原因・対策・影響の説明。
ただ文章で説明するだけでなく、こうすればこうなる　と　いうものが実際やれるように、その状況を作るソースや手順があるので、試してみるとより頭に入りやすい。
※付属CDがあれば、打ち込まずにすぐ試せるので、オススメ。

## この本の売り
そこまで厚くはない割に種類は豊富だしわかりやすい。
webアプリケーションに関わるのであれば、基本として読んでおいた方がいい書籍。
もちろん各々の状況や都合もあるし、対策がこれが全てではない。

[ブクログ · ★★★★☆]

情報処理安全確保支援士合格のために、なくてはならない書だった。この本を極めたら余裕で合格できた。webセキュリティ第一人者が著書。

[ブクログ · ★★★★☆]

セキュリティ関連の大抵のことは、知識としては持っているけど、実際に攻撃されたこともないし、どこか現実的に感じない。
この本では実際に試すことができ、実感できるのがすばらしい。でかくて重い本だけど、全てが大切な内容。難しいものではないので、しっかりと全ておさえておきたいところ。

[ブクログ · ★★★★☆]

Webアプリケーションの脆弱性とその対策を学ぶためによい。
脆弱性の概要やその動作を実際にソフトウェアを実際に動かしながら学ぶことができる。
多くの脆弱性が掲載されているため、webセキュリティについて一通り学んでおきたい場合には非常に有用である。

一方で、対象とするソフトウェアがPHPやそのライブラリを前提としている。
このため、プログラミング言語に依存しない体系的な知識を学ぶつもりでいると若干期待とのずれが生じる点に注意が必要。
要求されるPHPの知識は高くないので何かしらのプログラミング言語を習得していれば問題ないが、
脆弱性や対策の説明がPHPに若干偏っており、一例としてPHPが挙げられているというより、
説明自体は汎用的ではあるが具体的にはPHPの場合はこう、他の言語の場合は自分で検討する必要がある、という印象を受けた。

[ブクログ · ★★★★☆]

Web開発の勉強会で著者の講座を聞いて購入。
自作Webアプリのログイン周りで使っていたGemに脆弱性が見つかったり、7payのパスワード認証に欠陥があってニュースになっていたり。その都度答え合わせのように読んでいます。
著者のTwitterアカウントをフォローしておくと、どこかでセキュリティインシデントが起こるたびにこの本のどこで答え合わせができるか紹介されるので面白い。

[ブクログ · ★★★☆☆]

WEBアプリケーション開発に携わる方であれば、非エンジニアも一読しておくのがおすすめの一冊。脆弱性に対応する理由から始まり、17種類の攻撃手段の解説、認証認可や文字コードについての解説などに触れられているため、基礎研修で内容を網羅するのが良いと思いました。