![体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践](https://m.media-amazon.com/images/I/41WBMf7zcML._SX342_SY445_.jpg)
![体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践](https://images-fe.ssl-images-amazon.com/images/I/71jnCbTZEsL._AC_UL165_SR165,165_.jpg)
試験のセキュリティ対策に読んだ。
攻撃に対して、どういうプログラムコードが脆弱性があり、どういう対策をしたらよいかが書かれており、
試験本だけでは不足している部分が学べた。
時間の関係で実際に動かすさず、読むだけになってしまったが、本書に書いてあるように実際に動かしてみれば、よりよかったと思う。
無料のKindleアプリをダウンロードして、スマートフォン、タブレット、またはコンピューターで今すぐKindle本を読むことができます。Kindleデバイスは必要ありません。
ウェブ版Kindleなら、お使いのブラウザですぐにお読みいただけます。
携帯電話のカメラを使用する - 以下のコードをスキャンし、Kindleアプリをダウンロードしてください。
何か問題が発生しました。後で再度リクエストしてください。
この本を読んだ購入者はこれも読んでいます
ページ 1 以下のうち 1 最初から観るページ 1 以下のうち 1
出版社より
|
|
|
|
|---|---|---|
|
本書は読者が脆弱性の実物にふれることを重視しています。そのため、読者が安心して攻撃方法を体験できるように、VirtualBoxの仮想マシン上で脆弱性のサンプルを試せるようにしました。実習に必要なソフトウェアは本書のサポートサイトからダウンロードできます。 |
脆弱性とは、「悪用できるバグ」開発者にとってバグは身近なものです。アプリケーションにバグがあると様々な悪いことが起きます。たとえば、間違った結果を表示する、処理がいつまでたっても終わらない、画面が乱れる、異常に遅い、などなどです。そして、バグの中には、悪用ができてしまうものもあります。そのようなバグのことを脆弱性(vulnerability)またはセキュリティバグと呼びます。脆弱性は「ぜい弱性」と表記される場合もあります。 |
実習環境の概要本書では上記の環境をセットアップしたVirtualBox仮想マシンをダウンロードできるよう用意しました。VirtualBox上でLinuxを動かすイメージを上図に示します。仮想マシン上のLinuxサーバーは実際には読者のPCで動いていますが、これをインターネット上のサーバーであると見なしてください。仮想マシンの利用により、インターネット上のサーバーに近い環境を手元のPC上に再現することができます。 |
|
|
|
|
|---|---|---|
「重要な処理」の際に混入する脆弱性これは、CSRF攻撃のための罠のHTMLファイルです。攻撃者はインターネット上のどこかにこのファイルを置き、攻撃対象サイトの利用者が見そうなコンテンツから誘導します。攻撃対象サイトの利用者がこのHTMLを閲覧した際の様子を図に示します。 |
CSRF攻撃とXSS攻撃の比較CSRFと(反射型の)XSSは名前が似ているだけでなく、攻撃に至るシナリオが似ており、さらに攻撃の影響が一部重なっているので、両者を混同する人が少なくありません。両者を比較するために、図にCSRFと反射型XSSの攻撃シナリオを示します。 |
クリックジャッキング対策frameおよびiframeでの参照を制限するX-Frame-Optionsという仕様が米Microsoft社から提唱され、現在では主要ブラウザの最新版で採用されています。この仕様に対応することによりクリックジャッキング対策が容易にできます。X-Frame-Optionsはレスポンスヘッダとして定義されており、DENY(拒否)またはSAMEORIGIN(同一生成元に限り許可)のいずれかの値をとります。 |
著者について
著者をフォローして、新作のアップデートや改善されたおすすめを入手してください。
