- 作者: 徳丸浩
- 出版社/メーカー: 日経BP社
- 発売日: 2015/10/22
- メディア: 単行本
- この商品を含むブログ (4件) を見る
セキュリティの専門家として著名な徳丸先生が2015年に出版された本である。
170ページほどで薄めの本ながらWebのセキュリティに関して様々な事例や解説が紹介されている。
いくつか例を挙げると、XSSやSQLインジェクションやCSRFなどの説明やさくらVPSへの不正ログイン事件やGHOSTなどの事例をが書かれている。
本書序盤から度々出てくる「脆弱性はバグという意識を持つ」は開発者全員が意識しなければいけないと感じた。
あと発注者も意識が必要と書かれており、セキュリティ要件の提案と見積をRFPに盛り込んでおくことが勧められていた。
これにより発注側にもセキュリティ対策の責任を持つと開発者との責任のなすりつけ合いや逐一確認するといった無駄も省けて良さそうだと感じた。
またIPAの「安全なウェブサイトの作り方」や「セキュリティ実装チェックリスト」に沿って確認するのも勧められている。
また「安全なウェブサイトの作り方」は2015年に改訂され、以下の脆弱性について詳細や対策を解説している。無料で公開されているので、セキュリティへの関心の第一歩として一読するのは良さそうである。
- SQLインジェクション
- 0Sコマンドインジェクション
- パス名パラメータの未チェック/ディレクトリトラバーサル
- セッション管理の不備
- XSS(クロスサイトスクリプティング)
- CSRF(クロスサイトリクエストフォージェリ)
- HTTPヘッダーインジェクション 8.メールヘッダーインジェクション
- クリックジャッキング
- バッファオーバーフロー
- アクセス制御や認可制御の欠落