投稿元:
レビューを見る
Web開発の勉強会で著者の講座を聞いて購入。
自作Webアプリのログイン周りで使っていたGemに脆弱性が見つかったり、7payのパスワード認証に欠陥があってニュースになっていたり。その都度答え合わせのように読んでいます。
著者のTwitterアカウントをフォローしておくと、どこかでセキュリティインシデントが起こるたびにこの本のどこで答え合わせができるか紹介されるので面白い。
投稿元:
レビューを見る
数多くある脆弱性に対する丁寧な説明とその対策。
とはいえ設計段階からライブラリやフレームワークを使っておけば回避できるものも多そうだ
投稿元:
レビューを見る
軽い気持ちで作ったものが、どれだけ脆弱性を孕んでいるかを自覚出来る。
多種多様な攻撃手法について、原因・対策・影響の説明。
ただ文章で説明するだけでなく、こうすればこうなる と いうものが実際やれるように、その状況を作るソースや手順があるので、試してみるとより頭に入りやすい。
※付属CDがあれば、打ち込まずにすぐ試せるので、オススメ。
## この本の売り
そこまで厚くはない割に種類は豊富だしわかりやすい。
webアプリケーションに関わるのであれば、基本として読んでおいた方がいい書籍。
もちろん各々の状況や都合もあるし、対策がこれが全てではない。
投稿元:
レビューを見る
長らく積読になっていたけど、なんとか1周終了
•様々な事例が取り上げられていて良い勉強になった
•刊行後数年経過しているのにサポートページが充実していてとても良い
•コードの読み書きができない非エンジニアの私には難しい
•HTML,JavaScript,PHPを少し勉強してから2周目以降に取り組み、最低でも3周して理解を深めたい
投稿元:
レビューを見る
いわゆる「徳丸本」で,Webアプリケーションを作るには必須レベルの教本に位置付けられていると思われる。
実習環境としてFirefox(拡張FoxyProxy-Standard)やVirtualBox,無償ツールのOWASP ZAPを用いて,実際に脆弱性が分かるような構成になっている。
中でもWebアプリケーションの脆弱性(4章)に多くのページが割かれており,著者の本気度が伺える(?)。そのもくじはこちら:
1 Webアプリケーションの機能と脆弱性の対応
2 入力処理とセキュリティ
3 表示処理に伴う問題
4 SQL呼び出しに伴う脆弱性
5 「 重要な処理」の際に混入する脆弱性
6 セッション管理の不備
7 リダイレクト処理にまつわる脆弱性
8 クッキー出力にまつわる脆弱性
9 メール送信の問題
10 ファイルアクセスにまつわる問題
11 OSコマンド呼び出しの際に発生する脆弱性
12 ファイルアップロードにまつわる問題
13 インクルードにまつわる問題
14 構造化データの読み込みにまつわる問題
15 共有資源やキャッシュに関する問題
16 Web API実装における脆弱性
17 JavaScriptの問題
ある程度の基礎知識は自分で調べる必要があるだろうが,実践の面では本書は重宝する本だろう。
投稿元:
レビューを見る
Webアプリケーションの脆弱性とその対策を学ぶためによい。
脆弱性の概要やその動作を実際にソフトウェアを実際に動かしながら学ぶことができる。
多くの脆弱性が掲載されているため、webセキュリティについて一通り学んでおきたい場合には非常に有用である。
一方で、対象とするソフトウェアがPHPやそのライブラリを前提としている。
このため、プログラミング言語に依存しない体系的な知識を学ぶつもりでいると若干期待とのずれが生じる点に注意が必要。
要求されるPHPの知識は高くないので何かしらのプログラミング言語を習得していれば問題ないが、
脆弱性や対策の説明がPHPに若干偏っており、一例としてPHPが挙げられているというより、
説明自体は汎用的ではあるが具体的にはPHPの場合はこう、他の言語の場合は自分で検討する必要がある、という印象を受けた。
投稿元:
レビューを見る
セキュアなコードの書き方を具体例と一緒に教えてくれる。
普段コードを読んでいる人なら、読み始めれば気にならない分量だと思う。
投稿元:
レビューを見る
セキュリティ関連の大抵のことは、知識としては持っているけど、実際に攻撃されたこともないし、どこか現実的に感じない。
この本では実際に試すことができ、実感できるのがすばらしい。でかくて重い本だけど、全てが大切な内容。難しいものではないので、しっかりと全ておさえておきたいところ。
投稿元:
レビューを見る
Webアプリケーション開発者であれば必読の書籍。
内容はほぼPHPとJavaScriptで解説されているため、JavaScriptはともかくPHPを利用してない開発者は脳内で読み替える必要がある。ただ、各コードのボリュームは少ないため、そこまで苦労しないと思う。
また、本書は各攻撃方法と対策についてがカタログ形式で参照可能な作りになっているため、手元に置いておいて都度必要な時に参照したい一冊となっている。
脆弱性チェックツールについての記載もあり、脆弱性チェックを機械的に行うためにも使用できる。
投稿元:
レビューを見る
情報処理安全確保支援士合格のために、なくてはならない書だった。この本を極めたら余裕で合格できた。webセキュリティ第一人者が著書。
投稿元:
レビューを見る
WEBアプリケーション開発に携わる方であれば、非エンジニアも一読しておくのがおすすめの一冊。脆弱性に対応する理由から始まり、17種類の攻撃手段の解説、認証認可や文字コードについての解説などに触れられているため、基礎研修で内容を網羅するのが良いと思いました。
投稿元:
レビューを見る
新しいところだけ抜粋。それでも大量。今なら更に増えるんだろうなと感じる
3.3
CORS
シンプルなリクエストには
Access-Control-Allow-Origin
の設定が必要
プリフライトリクエストには
Access-Control-Allow-Methods
Access-Control-Allow-Headers
Access-Control-Allow-Origin
Access-Control-Max-Age
の設定が必要
認証情報を含むリクエストには
* XMLHttoRequestオブジェクトのwithcredentialsプロパティをtrueにする
* レスポンスヘッダとしてAccess-Control-Allow-Credentials: true を返す
4.12.4
PDFのFormCalcによるコンテンツハイジャック
対策
X-Download-Options: noopenはIE固有の仕様
ファイルダウンロードをPOSTリクエストに限定する
4.14.2
安全でないデシリアライザーション
対策
* シリアライズ形式ではなくJSON形式によりデータを受け渡す
* クッキーやhiddenバラメータではなくセッション変数など書き換えできない形でシリア
ライズ形式のデータを受け渡す
* HMACなどの改さん検知の仕組みを導入してデータが改さんされていないことを確認する
4.14.3
XML外部実体参照(XXE)
◆PHPにおけるXXE対策
PHPの場合以下のいずれかの方法でXXE対策が可能です。
* XMLの代わりにJSONを用いる
libxml2のバージョン2.9以降を用いる
* 1ibxml_disable_entity_loader (true)を呼び出す
4.15.2
キャッシュからの情報漏洩
対策
・アプリケーション側でキャッシュ制御用の適切なレスポンスヘッダを設定する
Cache-Control: private, no-store, no-cache, must-revalidate
Pragma: no-cache
・キャッシュサーバー側でキャッシュ制の適切な設定を行う
4.16
Web API実装における脆弱性
JSONエスケープの不備は、以下が根本対策となります。
・文字列連結によるJSONデータ生成をやめ、信頼できるライブラリを用いてJSONを生成する
・eval関数ではなく JSON.parseなどの安全なAPIでJSONを解釈する
・JSONPを避け、CORSを用いたWeb APIに移行する
JSON直接呼び出しによるXSSの対策は以下の通りです。
・MIMEタイプを正しく設定する(必須)
・レスポンスヘッダ X-Content-Type-Options: nosniffを出力する(強く推奨)
・小なり記号などをUnicodeエスケープする(推奨)
・XMLHttpRequestなどCORS対応の機能だけから呼び出せるようにする(推奨)
コールバック関数名によるXSSの対策は、
・コールバック関数名の文字種と文字数を制限する
・MIMEタイプを正しく設定する
Web APIに対するCSRF対策は、
・CSRFトークン(セッション変数にトークンを保持)
・二重送クッキー
・カスタムリクエストヘッダによる対策
加えて、共通の対策として下記を実施します。
・入力データのMIMEタイプ(application/jsonなど)を検証する
・CORSを適切に実装する(4.16.8項参照)
JSONハイジャックへの対策は
・X-Content-Type-Options: nosniff ヘッダの付与(強く推奨)
・リクエストヘッダX-Requested-With: XMLHttpRequestの確認(推奨)
JSONPの問題を解消するためのもっとも良い方法は、JSONPをやめ、CORS対比のXMLHttpRequestを用い��ことです。もはや、JSONPを用いるべき教板的な理由はないからです
セキュリティを強化するレスポンスヘッダ
・X-Frame-Options
・X-Content-Type-Options
・X-XSS-Protection
・Content-Security-Policy
・Strict-Transport-Security (HTTP Strict Transport Security; HSTS)
4.17
JavaScriptの問題
DOM Based XSSの対策は文字がそのまま表示されるようにすることで対策になります。
・適切なDOM操化あるいは記号のエスケープ
・eval、setTimeout、Functionコンストラクタなどの引数に文字列形式で外部からの値を渡さない
・URLのスキームをhttpかhttpsに限定する
・jQueryのセレクタは動的生成しない
・最新のライブラリを用いる
・XMLHttpRequestのURLを検証する
JavaScriptによるオープンリダイレクトの対策は
・リダイレクト先のURLを固定にする
・リダイレクト先URLを直接指定せず番号などで指定する
7
脆弱性診断入門
Nmap
OpenVAS、インストールが少し難しい
ovaファイル
https://wasbook.org/download/
RIPS 0.55までフリー、ただし、オブジェクト指向に対応していない、商用版がある
OWASPZAPは自動と手動がある
脆弱性診断研究会
既に60回以上の開催を重ねている無償の施弱性診断勉強会です。
https://security-testing.doorkeeper.jp/
投稿元:
レビューを見る
<OPAC>
https://opac.jp.net/Opac/NZ07RHV2FVFkRq0-73eaBwfieml/lLP2CwFgxMzXjjrXEyxRMnJowgp/description.html
投稿元:
レビューを見る
セキュリティの技術書として色々な場面でお勧めされたので拝読。
PHPに馴染みがあったので読みやすかったが、ボリュームがあるので通読には時間がかかった。
投稿元:
レビューを見る
650ページあって割と鈍器だけど実際はコード例やキャプチャが多く意外にするする読めた
なんとなくの理解だったり、フレームワークがよしなにやってくれるでしょと思いがちだったのだけど、あらためて基礎から丁寧に解説されてて、ちゃんと勉強できてよかった
